CatWithBlueHat15 окт 2023 в 06:00

Вальяжной походкой по HTTP-заголовкам

Простой

8 мин

16K

Информационная безопасность * Веб-разработка *

FAQ

Комментарии 3

ifap 15 окт 2023 в 10:54

preload - является необязательным параметром.

Необязательным параметром является includeSubDomains а preload является несуществующим параметром, которого нет в стандарте - это частные фантазии Гугла. Впрочем, полезность HSTS сильно преувеличена: если он передается по HTTP, то, кхм, он передается только по милости MitM, а если по HTTPS, то заявляет о том, что масло - масляное.

Дальше все не интересно до CSP, который уже неинтересен Вам, раз Вы про него толком не расказали. А про SRI вообще забыли.

НЛО прилетело и опубликовало эту надпись здесь

SanSYS 9 дек 2023 в 08:19

Если кто вдруг набрёл на эту статейку, то лучше глянь сюда https://portswigger.net/web-security/all-topics#client-side-topics

Там будет сильно больше инфы, узнаешь про костыли в именовании кукисов, что какая-то настройка не работает в первые 2 минуты, если явно это не отключить, что тот же CSP репортит только, если настроен через заголовок, а не мета-тег и много такого разного

И главное - всё распробуешь там же на месте

Зарегистрируйтесь на Хабре, чтобы оставить комментарий