RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

7.2. Тип запроса HTTP

Если HSTS-компьютер получает HTTP-запрос через небезопасный канал, он должен послать HTTP-отклик, содержащий статусный код, индицирующий постоянную переадресацию, такой как статусный код 301 (раздел 10.3.2 [RFC-2616]), и значение поля заголовка Location (положение), содержащий либо HTTP эффективный URI запроса (смотри раздел 9 ("Constructing an Effective Request URI")), измененный в соответствии со схемой URI "https", либо URI, сгенерированный согласно локальной политике по схеме "https".

Замечание: Выше описанное поведение нужно рассматривать скорее, как желательное, а не обязательное:

  • Риски переадресаций небезопасной-безопасный для стороны сервера [OWASP-TLSGuide].

  • Характеристики размещения сайта. Например, сайт, который содержит компоненты третьей стороны, может не работать корректно, когда осуществляется переадресация небезопасный-безопасный для стороны сервера, в случае доступа через небезопасный канал, но работает корректно, когда доступ осуществляется через безопасный канал. В последнем случае реализуется вариант агента пользователя HSTS, который уже определил сайт, как известный HSTS-компьютер.

HSTS-компьютер не должен включать поле заголовка STS в HTTP-отклики, передаваемые через небезопасный канал.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.