Estoy volviendo a buscar el protocolo de seguridad de transporte estricto, y estoy escribiendo un complemento para Firefox para resaltar algunos de los problemas con el protocolo. Una de las cosas que estoy viendo es el contenido mixto.
Si el sitio utiliza HSTS y la página contiene un enlace a un enlace HTTP (un enlace de contenido mixto), entonces esto no es un problema, ya que el sitio al recuperar el contenido lo hará a través de HTTPS, y no HTTP?
¡La aclaración sería buena!
Gracias,
Si:
1) Su navegador soporta HSTS
2) Cargas una página en enlace en el navegador
3) La página en enlace contiene un encabezado válido de HSTS Strict-Transport-Security
Entonces:
Cualquier solicitud posterior a www.example.com se realizará a través de HTTPS, según el encabezado HSTS Strict-Transport-Security.
Por lo tanto, si la página en enlace contiene una referencia a algunos recursos en enlace , luego el navegador solicitará el recurso en www.example.com/someresource a través de HTTPS en lugar de HTTP, según el encabezado HSTS Strict-Transport-Security.
Solo si el contenido mixto está en el mismo dominio.
Si la política de HSTS está en https://example.com y esto carga una imagen de http://example.org , se mostrará el contenido mixto.
Sin embargo, si la imagen HTTP sin formato se carga desde http://example.com , el navegador actualizará la conexión HTTP a HTTPS para que no haya contenido mixto en la página.
Lea otras preguntas en las etiquetas hsts