错误页面（400、401、403、500...）中是不是需要 Strict-Transport-Security？

Posted 2023-03-21

【中文标题】错误页面（400、401、403、500...）中是不是需要 Strict-Transport-Security？

【英文标题】：Is Strict-Transport-Security needed in error pages (400, 401, 403, 500...)?错误页面（400、401、403、500...）中是否需要 Strict-Transport-Security？

【发布时间】：2021-12-30 07:14:01

【问题描述】：

我对 hsts 响应标头有疑问。我正在开发一个 Web 应用程序，目前我涵盖了所有端点（有 200 个 ok 响应）......这意味着当响应为 200 时，所有端点都将返回 hsts 标头。我不知道它是否需要服务器也出错了。谢谢！

【参考方案1】：

无论提供哪种 HTTP 状态代码，我们通常都会在所有服务器响应中包含 HSTS 标头。在大多数情况下，这比其他任何事情都更容易实现（通过配置或一个专用过滤器来统治它们）。另一方面，没有理由不这样做 - TLS 通道已成功打开。

编辑：哦，对此也有一些其他意见：https://security.stackexchange.com/questions/122441/should-hsts-header-be-sent-on-an-error-response