为API响应(即不保持状态的请求)设置Strict-Transport-Security标头是否有意义,并且很可能不是源自浏览器. 最佳答案 不幸的是,HSTS RFC没有提到API.

根据2.1使用案例,它指出：

o  Web browser user wishes to interact with various web sites (some
  arbitrary, some known) in a secure fashion.

o  Web site deployer wishes to offer their site in an explicitly
  secure fashion for their own, as well as their users', benefit.

http://tools.ietf.org/html/rfc6797#section-2.1

由于它明确指出“网络浏览器”,我认为可以安全地假设HSTS是为通过网络浏览器访问的资源而设计的.

如果您认为未来Web浏览器可能会使用您的API,那么我建议您添加HSTS标头.如果您的API永远不会通过网络浏览器访问,那么您不需要HSTS标头,但是,您可能有必要将其添加到“未来证明”您的API,因为您决定将来应该通过Web浏览器访问它(和/或您将来允许HTTP连接).