Sto cercando il protocollo di sicurezza del trasporto rigoroso e sto scrivendo un plugin per Firefox per evidenziare alcuni dei problemi con il protocollo. Una delle cose che sto guardando è il contenuto misto.
Se il sito utilizza HSTS e la pagina contiene un collegamento a un link HTTP (un collegamento di contenuto misto), allora questo non è un problema, poiché il sito quando si recupera il contenuto lo farà su HTTPS e non HTTP?
Il chiarimento sarebbe buono!
Grazie,
Se:
1) Il tuo browser supporta HSTS
2) Carichi una pagina sul link nel browser
3) La pagina link contiene un'intestazione HSTS Strict-Transport-Security valida
Quindi:
Qualsiasi richiesta successiva a www.example.com verrà eseguita su HTTPS, come da intestazione HSTS Strict-Transport-Security.
Pertanto, se la pagina al collegamento contiene un riferimento a una risorsa a link , quindi il browser richiederà la risorsa su www.example.com/someresource tramite HTTPS anziché HTTP, come indicato dall'intestazione HSTS Strict-Transport-Security.
Solo se il contenuto misto si trova nello stesso dominio.
Se il criterio HSTS è su https://example.com e carica un'immagine da http://example.org , verrà visualizzato il contenuto misto.
Se, tuttavia, l'immagine HTTP semplice viene caricata da http://example.com , il browser aggiornerà la connessione HTTP a HTTPS in modo che non ci sia contenuto misto nella pagina.
Leggi altre domande sui tag hsts