HSTSの代替としてのUpgrade-Insecure-Requests
私は、ウェブサイトがHTTP Strict Transport Security(HSTS)ヘッダーなしで自動的にHTTPリクエストをHTTPSに変換するのを見てきました。
それで、リクエストの次の行はHSTSの必要性を完全に軽減しますか?
Content-Security-Policy: upgrade-insecure-requests;
From [〜#〜] mdn [〜#〜] :
upgrade-insecure-requestsディレクティブは、サードパーティのサイトのリンクを介してサイトにアクセスするユーザーがトップレベルのナビゲーション用にHTTPSにアップグレードされることを保証しないため、設定する必要があるStrict-Transport-Security(HSTS)ヘッダーを置き換えません適切なmax-ageを使用して、ユーザーがSSLストリッピング攻撃を受けないようにします。
upgrade-insecure-requestsページがhttps経由で読み込まれると、http要求をhttpsにアップグレードします。これは、混合コンテンツの問題を回避するのに役立ちますが、ページが安全なスキーマを介して強制的にロードされることはありません。
詳細は https://scotthelme.co.uk/migrating-from-http-to-https-ease-the-pain-with-csp-and-hsts/ にあります
彼らは異なることをします。 Content-Security-Policy: upgrade-insecure-requestsは、他のドメインにリンクされているものなど、1つのセッションのページのリソースに影響します。 HSTSはあなた自身のドメインに影響を与え、あなたのブラウザはそれを覚えています。