web-dev-qa-db-ja.com

HSTS(Strict-Transport-Securityヘッダー)はHTTPとHTTPSのどちらですか?

Strict-Transport-SecurityヘッダーはHTTPまたはHTTPS用ですか?つまり、HTTP接続でこのヘッダーを使用して応答すると、ブラウザーはその時点からHTTPSのみを使用するように指示されますか?または、このヘッダーはHTTPS応答でのみ使用され、それ以降はブラウザでHTTPSのみを使用するように指示しますか?

クライアントがHTTPでサイトにアクセスしようとした場合、サイトをHTTPからHTTPSにリダイレクトしようとしています。だから、私はstrict-transport-securityヘッダーがこの目的に使用されるのか、それともこの目的に使用できるのか興味があります。

11
Sam

HSTS仕様ドラフト には サーバー処理モデル に関する章が含まれています。 secure requests の予想される動作を説明します。

安全なトランスポートを介して伝えられたHTTPリクエストに返信するとき、HSTSホストはその応答メッセージにSTSヘッダーフィールドを含める必要があります[…]

そして 非セキュアリクエスト の場合:

HSTSホストが非セキュアなトランスポートを介してHTTP要求メッセージを受信した場合、永続的なリダイレクトを示すステータスコードを含むHTTP応答メッセージを送信する必要があります[…]

これは WikipediaのHTTP Strict Transport Security記事のさまざまな実装例 にも反映されています。

8
Gumbo