Qualcuno sa se:
sono per HTTP e:
sono per HTTPS?
Ciò che intendo è che se ho un blog che serve pagine su HTTP e non ha alcun reindirizzamento HTTPS, sono necessarie solo le prime 4 intestazioni. Se lo ospito su HTTPS, solo allora sono necessarie le rimanenti 2 intestazioni?
O è necessario che siano richiesti indipendentemente dal modo in cui ospita il blog?
If I host it on HTTPS, only then the remaining 2 headers are necessary?
No, non è abbastanza. Le intestazioni non si escludono a vicenda per HTTP o HTTPS.
HTTPS non elimina le vulnerabilità che alcune delle intestazioni hanno lo scopo di proteggerti contro.
Ad esempio, l'intestazione X-Frame-Options impedisce al framing di origine incrociata di bloccare gli attacchi clickjacking . Questo rischio non è correlato a una connessione crittografata e ha senso per i siti pubblicati su HTTP e HTTPS allo stesso modo.
Inoltre, non ci sono "intestazioni HTTPS", è solo che HSTS ( Strict-Transport-Security ) e HPKP ( Public-Key-Pins ) sono Intestazioni HTTP che specificano specificamente al browser come comportarsi per le connessioni HTTPS.
[ ...] if I have a blog which serves pages on HTTP and has no HTTPS redirection, then only the first 4 headers are necessary.
Poiché HSTS indica al browser di connettersi solo tramite HTTPS per un determinato periodo di tempo e HPKP specifica gli hash delle chiavi pubbliche per i certificati che il browser deve accettare, sei corretto che queste due intestazioni non avrebbero senso per un semplice sito Web HTTP . Tuttavia, in base all'applicazione, l'impostazione delle intestazioni dall'elenco non garantisce un sito Web sicuro. Ti consigliamo di studiare lo scopo di ciascuna intestazione e altre possibili misure per proteggere il tuo sito.