web-dev-qa-db-ja.com

HSTSの代替としてのUpgrade-Insecure-Requests

私は、ウェブサイトがHTTP Strict Transport Security(HSTS)ヘッダーなしで自動的にHTTPリクエストをHTTPSに変換するのを見てきました。

それで、リクエストの次の行はHSTSの必要性を完全に軽減しますか?

Content-Security-Policy: upgrade-insecure-requests;
5
Mohammed Farhan

From [〜#〜] mdn [〜#〜]

upgrade-insecure-requestsディレクティブは、サードパーティのサイトのリンクを介してサイトにアクセスするユーザーがトップレベルのナビゲーション用にHTTPSにアップグレードされることを保証しないため、設定する必要があるStrict-Transport-Security(HSTS)ヘッダーを置き換えません適切なmax-ageを使用して、ユーザーがSSLストリッピング攻撃を受けないようにします。

8
IamNaN

upgrade-insecure-requestsページがhttps経由で読み込まれると、http要求をhttpsにアップグレードします。これは、混合コンテンツの問題を回避するのに役立ちますが、ページが安全なスキーマを介して強制的にロードされることはありません。

詳細は https://scotthelme.co.uk/migrating-from-http-to-https-ease-the-pain-with-csp-and-hsts/ にあります

3
mybrave

彼らは異なることをします。 Content-Security-Policy: upgrade-insecure-requestsは、他のドメインにリンクされているものなど、1つのセッションのページのリソースに影響します。 HSTSはあなた自身のドメインに影響を与え、あなたのブラウザはそれを覚えています。

3
Macil