Aggiornamento - Richieste non protette come alternativa per HSTS

Naviga le tue risposte
3

Ho visto che i siti Web trasformano automaticamente le richieste HTTP in HTTPS senza l'intestazione HTTP Strict Transport Security (HSTS).

Quindi la riga seguente nella richiesta alleggerisce completamente la necessità di HSTS? 

Content-Security-Policy: upgrade-insecure-requests;
    
posta Mohammed Farhan 25.01.2018 - 08:26
fonte

3 risposte

6

Da MDN :

The upgrade-insecure-requests directive will not ensure that users visiting your site via links on third-party sites will be upgraded to HTTPS for the top-level navigation and thus does not replace the Strict-Transport-Security (HSTS) header, which should still be set with an appropriate max-age to ensure that users are not subject to SSL stripping attacks.

    
risposta data 25.01.2018 - 08:47
fonte
2

upgrade-insecure-requests aggiorna qualsiasi richiesta http a https quando la pagina viene caricata su https. Ciò aiuta a evitare il problema dei contenuti misti, ma non impone il caricamento della pagina su uno schema sicuro.

Maggiori dettagli possono essere trovati su link

    
risposta data 25.01.2018 - 17:49
fonte
2

Fanno cose diverse. Content-Security-Policy: upgrade-insecure-requests influisce sulle risorse della tua pagina per una singola sessione, incluse le cose collegate ad altri domini. L'HSTS influenza il tuo dominio e il tuo browser lo ricorda.

    
risposta data 25.01.2018 - 19:58
fonte

Leggi altre domande sui tag

Il malware PHP proveniente dal mio sito Web compromesso potrebbe infettare localmente il mio computer se scaricato? Rapporti di Chrome su altri browser in esecuzione