Блог

У меня есть сомнения, связанные с заголовком ответа hsts. Я разрабатываю веб-приложение и в настоящее время охватил все конечные точки (с 200 ответами «ок»)… это означает, что все конечные точки вернут заголовок hsts, когда ответ будет равен 200. Я не знаю, нужно ли это и для ошибок сервера. Спасибо!

Мы обычно включаем заголовок HSTS во все ответы сервера, независимо от того, какой код состояния HTTP указан. В большинстве случаев это проще реализовать, чем все остальное (либо с помощью конфигурации, либо с помощью одного выделенного фильтра, чтобы управлять ими всеми). С другой стороны, нет причин не делать этого таким образом — канал TLS был успешно открыт.

ПРАВКА: О, и есть еще несколько мнений по этому поводу: https://security.stackexchange.com/questions/122441/should-hsts-header-be-sent-on-an-error-response