上下文:我有一个提供GUI和API的应用程序。 GUI 是用户通过 Web 浏览器访问的网页。该 API 是基于 HTTP(S) 的后端,也可由其他应用程序访问。在某些情况下,访问 API 的某些应用程序可能在同一受保护网络中运行,并且(为了通信速度)最好仅使用 HTTP(而不是 HTTPS)访问 API。
我的问题:
Strict-Transport-Security我相信 HSTS 信息必须缓存在某个地方,因此真正的无状态客户端将无法记住它。
HSTS 主要是浏览器的事情,大多数 REST-API 客户端不会使用该标头。将其主要视为对客户使用它的提示,但不要假设所有客户都会使用它。