Stavo osservando il modulo link e link . Queste due risposte hanno interessanti somiglianze e differenze nelle loro definizioni di sicurezza.
Sia Twitter che Google hanno in comune questi elementi di intestazione ai fini della sicurezza:
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Server: *custom*
Expires: *in the past*
Cache-Control: private***
Tuttavia, Twitter ha una dichiarazione cache-control
più estesa e utilizza HSTS:
cache-control: no-cache, no-store, must-revalidate, pre-check=0, post-check=0
strict-transport-security: max-age=631138519
Domande:
- C'è qualche ragione per non usare l'HSTS? Google dipende da precarica HSTS e l'applicazione web "normale" dovrebbe abilitare HSTS?
- Gli utenti di Google sono più sensibili alle informazioni relative alla cache
divulgazione rispetto agli utenti di Twitter a causa della diversa
cache-control
definizione?
Per completezza ho incluso l'intestazione HTTP completa per entrambi i siti.
La risposta HTTP dal link :
HTTP/1.1 200 OK
Date: Sun, 06 Oct 2013 19:27:33 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=UTF-8
Set-Cookie: PREF=REMOVED
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Server: gws
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Alternate-Protocol: 443:quic
Content-Length: 100392
La risposta HTTP dal link :
HTTP/1.1 200 OK
cache-control: no-cache, no-store, must-revalidate, pre-check=0, post-check=0
Content-Length: 50221
content-type: text/html;charset=utf-8
date: Sun, 06 Oct 2013 19:33:08 GMT
expires: Tue, 31 Mar 1981 05:00:00 GMT
last-modified: Sun, 06 Oct 2013 19:33:08 GMT
ms: S
pragma: no-cache
server: tfe
set-cookie: _twitter_sess=REMOVED
status: 200 OK
strict-transport-security: max-age=631138519
x-frame-options: SAMEORIGIN
x-transaction: 699d2669d76b27f5
x-ua-compatible: IE=10,chrome=1
x-xss-protection: 1; mode=block