Solicitudes de actualización inseguras como alternativa para HSTS

3

He visto que los sitios web transforman automáticamente las solicitudes HTTP en HTTPS sin el encabezado HTTP Strict Transport Security (HSTS).

¿La siguiente línea en la solicitud alivia completamente la necesidad de HSTS?

Content-Security-Policy: upgrade-insecure-requests;
    
pregunta Mohammed Farhan 25.01.2018 - 08:26
fuente

3 respuestas

6

De MDN :

  

La directiva upgrade-insecure-requests no garantizará que los usuarios   La visita a su sitio a través de enlaces en sitios de terceros se actualizará a   HTTPS para la navegación de nivel superior y, por lo tanto, no reemplaza al   Encabezado de seguridad de transporte estricto (HSTS), que aún debe establecerse   con una edad máxima adecuada para garantizar que los usuarios no estén sujetos a   Ataques de eliminación de SSL.

    
respondido por el IamNaN 25.01.2018 - 08:47
fuente
2

upgrade-insecure-requests actualiza cualquier solicitud http a https cuando la página se carga a través de https. Esto ayuda a evitar problemas de contenido mixto, pero no obligará a que la página se cargue a través de un esquema seguro.

Se pueden encontrar más detalles en enlace

    
respondido por el mybrave 25.01.2018 - 17:49
fuente
2

Hacen cosas diferentes. Content-Security-Policy: upgrade-insecure-requests afecta los recursos de su página para una sola sesión, incluidas las cosas vinculadas a otros dominios. HSTS afecta su propio dominio, y su navegador lo recuerda.

    
respondido por el Macil 25.01.2018 - 19:58
fuente

Lea otras preguntas en las etiquetas