Как ведет себя HSTS, когда URL запрашивается без заголовка браузера

Question

В рамках улучшений безопасности мы исследовали заголовок безопасности и добавили заголовки HTTP, включая HSTS или Strict-Transport-Security .Этот заголовок просто заставляет браузер использовать https версию домена, даже если вы запрашиваете http версию.Как сказано в документации, работает следующим образом:

При первом обращении к вашему сайту с использованием HTTPS и при возврате заголовка Strict-Transport-Security браузер записывает эту информацию, чтобы в будущем пытаться загрузитьвместо этого сайт, использующий HTTP, будет автоматически использовать HTTPS.

Некоторые из наших размещенных служб будут вызываться без заголовка браузера.Это может быть из другого приложения, написанного на Java.Допустим, клиент вызывает одну из служб http.Теперь, в этом случае, как будут обрабатываться заголовки HSTS?будет ли он перенаправлять на сервисы, основанные на https, или продолжит использовать http?

Answer 1

Это полностью зависит от клиента.Я полагаю, что только браузеры реализуют HSTS, поскольку он предназначен для защиты от людей, использующих неправильные URL-адреса, а не браузеры обычно используются более техническими пользователями, которые понимают URL-адрес.

Скажем,клиент вызывает одну из служб http.Теперь, в этом случае, как будут обрабатываться заголовки HSTS?будет ли он перенаправлять на сервисы, основанные на https, или продолжит использовать http?

Вы неправильно понимаете, как HSTS работает в основном.Для начала HSTS не следует отправлять для HTTP-запроса и только для HTTPS-запроса.Это защита, предотвращающая чей-либо DoSing сайт, предназначенный только для HTTP, путем добавления заголовка HSTS (так как HTTP-трафик небезопасен и может быть изменен в пути - в отличие от HTTPS-трафика).Таким образом, первоначальный HTTP-запрос не будет перенаправлен, и поэтому не получит заголовок HSTS.Важно использовать перенаправления HSTS и .