RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

8.1. Обработка поля заголовка отклика Strict-Transport-Security

Если отклик HTTP, полученный через безопасный канал, содержит поле заголовка STS, соответствующее грамматике, специфицированной в разделе 6.1 ("Strict-Transport-Security HTTP Response Header Field"), и нет ошибок или предупреждений транспортной безопасности (смотри раздел 8.4), агент пользователя должен либо:

  • Пометить компьютер, как известный HSTS-компьютер, если он не был помечен ранее (смотри раздел 8.1.1 ("Noting an HSTS-компьютер — Storage Model")),

либо

  • Обновить кэшированную информацию агента пользователя для известного HSTS-компьютера, если значения полей заголовка max-age и includeSubDomains содержат информацию, отличную от той, которую уже имел агент пользователя.

    Значение max-age является временем жизни, привязанным к моменту получения поля заголовка STS.

    Если значение поле заголовка max-age равно нулю, агент пользователя должен удалить свою кэшированную информацию политики HSTS (включая директиву includeSubDomains, если она специфицирована), если HSTS-компьютер известен, или агент пользователя не должен замечать этот HSTS-компьютер, если он еще не известен.

    Если агент пользователя получает в HTTP-отклике через безопасный канал более одного поля заголовка STS, тогда агент пользователя должен обрабатывать только первое из полей заголовка.

В противном случае:

  • Если HTTP-отклик получен через небезопасный канал, агент пользователя должен игнорировать любое поле заголовка STS.

  • UA должен игнорировать любые поля заголовка STS, не соответствующие грамматике, специфицированной в разделе 6.1 ("Strict-Transport-Security HTTP Response Header Field").

2007 - 2017 © Русские переводы RFC, IETF, ISOC.