La sezione 7.2 di RFC 6797 afferma:
An HSTS Host MUST NOT include the STS header field in HTTP responses
conveyed over non-secure transport.
In pratica, ho molti host dietro a un sistema di bilanciamento del carico di Amazon, in cui le richieste dalle porte 443 e 80 vengono inoltrate alla stessa configurazione Nginx. Sarebbe molto più semplice inviare sempre l'intestazione Strict-Transport-Security
, indipendentemente dal protocollo in ingresso utilizzato.
Non mi interessa se l'UA ignora l'intestazione su richieste non sicure. Mi piacerebbe solo confermare se questa violazione della RFC causa un problema nella pratica.
Le richieste non protette sono già state reindirizzate a versioni sicure dal server, dove l'UA riceverà quindi un'intestazione Secure-Transport-Security
valida nella risposta.