Добавить заголовок Strict-Transport-Security ко всем ответам HTTPS?
Читая https://hstspreload.org, я заметил в разделе «Рекомендации по развертыванию», что я должен "Добавить заголовок Strict-Transport-Security ко всем ответам HTTPS ...".
Из-за того, что включение HSTS-политики во все ответы https кажется мне излишним, я изучил несколько веб-сайтов, чтобы проверить, действительно ли все они включают это поле заголовка во все свои ответы https. Но даже Google этого не делает, например https://www.google.com/doodles не имеет поля заголовка Strict-Transport-Security в ответе.
Итак, мой вопрос: когда ответ сервера должен включать HSTS-политику?
Я вижу здесь следующие варианты:
- включать HSTS в каждый ответ https.
- включать HSTS в каждый ответ https, относящийся к безопасности.
- включать HSTS только для, например, example.com, но не для любых путей, таких как example.com/mypath
- Я имею в виду, что рано или поздно они все равно зайдут на example.com, не так ли?
- включать HSTS, только если в запросе есть поле "upgrade-insecure-requests: 1"
- Я заметил, что Chrome отправляет это поле заголовка запроса в материалы, относящиеся к безопасности, если HSTS не был установлен.
Ответы 1
Я не думаю, что добавлять его ко всем ресурсам - это излишне. Это очень маленький заголовок, который обеспечивает наилучшее изменение политики HSTS.
Многие люди даже загружают пиксель из базового домена (например, www.example.com может загружать https://example.com/1pixel.png), чтобы гарантировать, что также загружается политика HSTS базового домена. Если вы сконфигурируете HSTS для доставки только для документов, он не будет принят.
Я бы точно не стал включать его только на главную страницу. Это неверное предположение, чтобы говорить, что рано или поздно они его посещают.
Что вас здесь беспокоит? У вас есть супероптимизированный сайт, который будет убит, обслуживая этот заголовок с каждым ресурсом? Что касается CSP, я бы понял, откуда вы пришли, поскольку этот заголовок может стать очень большим, но для HSTS я действительно думаю, что вы слишком много думаете об этом. Кроме того, при использовании HTTP / 2 сжатие заголовков тоже решает эту проблему. Кроме того, конфигурация, необходимая для возврата только на некоторых ресурсах, добавит сложности и лишних хлопот.
Не стоит и думать, вы правы! Накладные расходы в процентах низкие. Спасибо за уделенное время!
Спасибо за ответ! «Избыточное убийство» - это, может быть, не подходящее слово, вы правы. Тем не менее, если вы примете во внимание все ресурсы, такие как таблицы стилей, изображения, а также ajax и т. д., Вы получите накладные расходы в несколько килобайт на вызов html-страницы. Разве это не стоит оптимизации?