È l'intestazione HSTS (Strict-Transport-Security) per HTTP o HTTPS?

11

L'intestazione Strict-Transport-Security è progettata per HTTP o HTTPS? Cosa intendo dire, rispondo con questa intestazione su una connessione HTTP che a sua volta dice al browser di utilizzare HTTPS solo da quel momento in poi? Oppure, questa intestazione è utilizzata solo su una risposta HTTPS e dirà al browser di utilizzare HTTPS solo da quel momento in poi?

Sto cercando di reindirizzare il mio sito da HTTP a HTTPS se un client tenta di accedere al mio sito su HTTP. Quindi, mi interessa sapere se l'intestazione strict-transport-security viene utilizzata per questo scopo o può essere utilizzata a questo scopo.

    
posta Sam 10.11.2012 - 08:30
fonte

1 risposta

8

La bozza delle specifiche HSTS contiene un capitolo sul modello di elaborazione del server . Descrive il comportamento previsto per richieste sicure :

When replying to an HTTP request that was conveyed over a secure transport, an HSTS Host SHOULD include in its response message an STS header field […]

E per richieste non protette :

If an HSTS Host receives a HTTP request message over a non-secure transport, it SHOULD send a HTTP response message containing a status code indicating a permanent redirect […]

Ciò si riflette anche nei vari esempi di implementazione della sicurezza di trasporto rigorosa HTTP di Wikipedia articolo .

    
risposta data 10.11.2012 - 09:17
fonte

Leggi altre domande sui tag