Sto osservando il comportamento di HSTS su entrambi i siti Web HTTP e HTTPS e le relative risorse incorporate HTTP e HTTPS. La mia comprensione è che se un'intestazione di risposta HSTS è stata passata dal server in una risposta HTTPS, o se il nome del sito è presente nell'elenco di precarico HSTS, tutte le risorse di tale richiesta verranno inviate su HTTPS.
Tuttavia, mentre ispeziono alcuni siti tramite Firefox Web Inspector, noto alcune discrepanze. Ad esempio, qui su cnn.com
(un sito Web HTTP), alcune delle richieste dei sottodomini di doubleclick.net
vanno su HTTP, anche se è presente nell'elenco di precarico HSTS su qui (con include_subdomains: true).
Soloperverificareseildominioradicestavainviandol'intestazioneHSTS,honavigatoallinkad.doubleclick.net
nellabarradegliindirizzidovesonostatoindirizzatoalsitoprincipalediDoubleClickhttps://www.doubleclickbygoogle.com
Quivieneinviatal'intestazioneHSTS:
Tuttavia,noncisonoeffettisullerichiestedidoubleclick
sucnn.com
quandoricarico:
Un'altracosainteressanteèchequandoprovoalocalizzareiltagsorgentedellarichiestasulDOMandandoallaschedaInspector,nonesisteuntagdiquestotipoconhttp://ad.doubleclick.net
(conalcuniquerystring).L'intestazione"Causa" e "Tipo" nell'ispettore sembrano indicare il suo tipo di tracciatore di un pixel.
Qualcuno ha idea di cosa potrebbe succedere qui?