在我的API上没有安全标头是否被认为是不好的做法?

时间:2019-01-17 19:11:34

标签: http-headers

此刻我有两个网站。

  • admin.example.com
  • api.example.com

“管理员”拥有https://securityheaders.io推荐的所有安全标头。

“ api”没有任何内容,这是故意的。我知道此应用程序仅会提供JSON,并且是一个相对简单的API。

这是不好的做法吗?标头是否可以防止纯API网站出现任何问题?

在两种情况下我都已经设置了HSTS标头,这显然很重要。

1 个答案:

答案 0 :(得分:1)

这取决于API的requiremt,如果API是事务性的,则使用HSTS标头,否则不使用。如果API不包含敏感数据,则不要使用它。

HTTP严格传输安全性(HSTS):

  

假设您有一个名为api.example.com的网站并已安装   SSL / TLS证书,并从HTTP迁移到HTTPS。但这不是   工作停止的地方。如果您的网站仍然可以访问怎么办   HTTP?完全没有意义,对吧?许多网站管理员   迁移到HTTPS,然后忘记它而没有意识到这一点。这个   是HSTS进入图片的地方。如果网站配备了HTTPS,   服务器强制浏览器通过安全的HTTPS进行通信。这个   这样,就完全消除了HTTP连接的可能性。