Ho capito che la guida utilizza Strict-Transport-Security
per le connessioni su HTTP.
A prima vista, sembra che il 301 reindirizzamento del traffico HTTP su HTTPS abbia lo scopo di ottenere lo stesso effetto. Tuttavia, come sappiamo da domande come È un reindirizzamento HTTP 301 a HTTPS, non sicuro? , i reindirizzamenti 301 in realtà non creano una sicurezza perfetta.
Quindi sì, il reindirizzamento 301 non impedisce realmente l'attacco MITM, ma a me sembra che possa aiutare a prevenire attacchi di intercettazione. Quindi, supponendo che ci preoccupiamo della divulgazione delle informazioni sulla risposta del server, c'è qualche ragione per cui non sarebbe meglio fare sempre 301 reindirizzare il traffico HTTP in entrata oltre a usare l'intestazione Strict-Transport-Security
?