Мне нужно добавить меры безопасности к веб-сайту, на котором запущен сервер приложений Tomcat 6. Одним из них является добавление заголовка HTTP Strict-Transport-Policy. Я сделал это, добавив фильтр, который, в свою очередь, добавляет этот заголовок к любому ответу. Но есть статический контент, обслуживаемый веб-серверами apache (перед сервером приложений), к которому у меня нет доступа. Итак, мой вопрос: должен ли я заботиться об этом? Необходимо ли возвращать этот заголовок с каждым обслуживаемым файлом (.css, .js и т. Д.)? Насколько я понимаю, этот заголовок говорит браузеру: «Эй, если вы читаете это, доступ к этому домену через HTTPS только для следующего».
HSTS применяется ко всему домену, поэтому установка его во всех ваших ответах должна сработать.
Нет, вам не нужно отправлять заголовок с каждым ответом. В RFC, раздел 6.1.1:
Директива REQUIRED «max-age» определяет количество секунд после приема поля заголовка STS, в течение которых UA рассматривает хост (от которого было получено сообщение) как Известный хост HSTS.
Таким образом, заголовок явно предназначен для использования для всего домена и кэшируется. Чтобы защитить свои статические ресурсы, у которых нет этого заголовка, вы делать браузер должен иметь доступ к маршруту, который сначала отправляет заголовок, а затем еще раз, прежде чем истечет значение max-age.