Strict-Transport-SecurityヘッダーはHTTPまたはHTTPS用ですか?つまり、HTTP接続でこのヘッダーを使用して応答すると、ブラウザーはその時点からHTTPSのみを使用するように指示されますか?または、このヘッダーはHTTPS応答でのみ使用され、それ以降はブラウザでHTTPSのみを使用するように指示しますか?
クライアントがHTTPでサイトにアクセスしようとした場合、サイトをHTTPからHTTPSにリダイレクトしようとしています。だから、私はstrict-transport-securityヘッダーがこの目的に使用されるのか、それともこの目的に使用できるのか興味があります。
HSTS仕様ドラフト には サーバー処理モデル に関する章が含まれています。 secure requests の予想される動作を説明します。
安全なトランスポートを介して伝えられたHTTPリクエストに返信するとき、HSTSホストはその応答メッセージにSTSヘッダーフィールドを含める必要があります[…]
そして 非セキュアリクエスト の場合:
HSTSホストが非セキュアなトランスポートを介してHTTP要求メッセージを受信した場合、永続的なリダイレクトを示すステータスコードを含むHTTP応答メッセージを送信する必要があります[…]
これは WikipediaのHTTP Strict Transport Security記事のさまざまな実装例 にも反映されています。