Внедрение HSTS

Question

Я хотел бы внедрить HSTS на моем веб-сайте, и у меня есть некоторые страницы, которые обслуживаются как HTTPS, а некоторые - как HTTP, в зависимости от требований.Я дал условие добавить HSTS только для страницы HTTPS, а не для страниц HTTP.

if (HttpContext.Current.Request.Url.Scheme.ToLower() == "https")
{
    response.Headers.Add("Strict-Transport-Security", 
        "max-age=31536000;includeSubDomains; preload");
}

Там написано слишком много перенаправлений после того, как я добавил этот код.

Пожалуйста, дайте мне знать, как я могу реализовать HSTS, где у нас есть несколько страниц HTTPS и несколько страниц HTTP.

Answer 1

Не думаю, что вы можете использовать HSTS, если хотите, чтобы на некоторых страницах не было https в одном домене. HSTS указывает клиенту (браузеру) на доступ к серверу только через https

Более подробную информацию можно найти в Википедии https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Когда веб-приложение выдает политику HSTS для пользовательских агентов, соответствует Агенты пользователей ведут себя следующим образом (RFC 6797): [10]

1. Автоматически поворачивать любые небезопасные ссылки, ссылающиеся на веб-приложение в безопасные ссылки. (Например, http://example.com/some/page/ будет изменить до https://example.com/some/page/ перед доступом к сервер.)
2. Если безопасность соединения не может быть обеспечена (например, сертификат TLS сервера не является доверенным), пользовательский агент должен разорвать соединение (RFC 6797, раздел 8.4, Ошибки в Secure Транспортное учреждение) и не должно позволять пользователю веб-приложение (раздел 12.1, Нет пользовательских ресурсов).