为API响应(即不保持状态的请求)设置Strict-Transport-Security标头是否有意义,并且很可能不是源自浏览器. 最佳答案 不幸的是,HSTS RFC没有提到API.
根据2.1使用案例,它指出:
o Web browser user wishes to interact with various web sites (some
arbitrary, some known) in a secure fashion.
o Web site deployer wishes to offer their site in an explicitly
secure fashion for their own, as well as their users', benefit.
http://tools.ietf.org/html/rfc6797#section-2.1
由于它明确指出“网络浏览器”,我认为可以安全地假设HSTS是为通过网络浏览器访问的资源而设计的.
如果您认为未来Web浏览器可能会使用您的API,那么我建议您添加HSTS标头.如果您的API永远不会通过网络浏览器访问,那么您不需要HSTS标头,但是,您可能有必要将其添加到“未来证明”您的API,因为您决定将来应该通过Web浏览器访问它(和/或您将来允许HTTP连接).