此刻我有两个网站。
“管理员”拥有https://securityheaders.io推荐的所有安全标头。
“ api”没有任何内容,这是故意的。我知道此应用程序仅会提供JSON,并且是一个相对简单的API。
这是不好的做法吗?标头是否可以防止纯API网站出现任何问题?
在两种情况下我都已经设置了HSTS标头,这显然很重要。
答案 0 :(得分:1)
这取决于API的requiremt,如果API是事务性的,则使用HSTS标头,否则不使用。如果API不包含敏感数据,则不要使用它。
HTTP严格传输安全性(HSTS):
假设您有一个名为api.example.com的网站并已安装 SSL / TLS证书,并从HTTP迁移到HTTPS。但这不是 工作停止的地方。如果您的网站仍然可以访问怎么办 HTTP?完全没有意义,对吧?许多网站管理员 迁移到HTTPS,然后忘记它而没有意识到这一点。这个 是HSTS进入图片的地方。如果网站配备了HTTPS, 服务器强制浏览器通过安全的HTTPS进行通信。这个 这样,就完全消除了HTTP连接的可能性。