【发布时间】:2019-03-07 05:46:16
【问题描述】:
在阅读https://hstspreload.org 时,我注意到在“部署建议”部分中我应该“将 Strict-Transport-Security 标头添加到所有 HTTPS 响应...”。
由于在所有 https 响应中包含 HSTS-policy 对我来说听起来有点矫枉过正,我检查了一些网站以检查它们是否真的在所有 https 响应中都包含此标头字段。但即使是谷歌也没有这样做,例如https://www.google.com/doodles 在响应中没有 Strict-Transport-Security 标头字段。
所以我的问题是服务器响应何时应该包含 HSTS 策略?
我在这里看到的选项是:
- 在每个 https 响应中包含 HSTS。
- 在每个安全相关的 https 响应中包含 HSTS。
- 仅包含 HSTS,例如example.com 但不适用于任何路径,例如 example.com/mypath
- 我的意思是他们迟早会访问 example.com,不是吗?
- 仅当请求具有“upgrade-insecure-requests: 1”字段时才包含 HSTS
- 我注意到,如果未设置 HSTS,Chrome 会在与安全相关的内容中发送此请求标头字段。
【问题讨论】: