Https
為什麼不能在 HTTP 上發送 HSTS 標頭
為什麼不能在 HTTP 上發送 HSTS 標頭?
會有什麼傷害;客戶可以將其作為重定向到 https 的提示。
HTTP 請求可以被第三方操縱(緩解這是 HTTPS 的主要目的之一)。如果第三方修改 HTTP 響應以添加 HSTS 標頭會發生什麼?想像一下,這發生在一個不支持 HTTPS 的站點上。客戶端現在嘗試通過不支持的 HTTPS 訪問該站點。Voilà:第三方已經完全阻止了對該站點的訪問(並且在相當長的一段時間內,如果它是一個長期的 HSTS 標頭)。