Как HSTS обрабатывает смешанный контент?
Я только что проверил с помощью SSL Server Test , правильно ли я реализовал SSL-сертификат на своем сервере. Я получил оценку A в их рейтинге, но вы можете получить A + , если активировали HSTS . После некоторого поиска я обнаружил, что Google может рассматривать HSTS как фактор ранжирования. Так что это актуально с точки зрения SEO. Перед внедрением HSTS у меня есть несколько вопросов.
Вопрос 1
Что произойдет, если некоторые внешние скрипты JavaScript загрузят, например, изображение по http (вместо https) на мой сайт? Будет ли HSTS предотвращать загрузку всей страницы или блокировать только определенное «небезопасное» содержимое?
Вопрос 2
В настоящий момент (без HSTS) я получаю предупреждение о «смешанном содержимом», если ресурсы загружаются через http. Существует ли «смешанный контент», если активирован HSTS?
HSTS вообще не пытается обрабатывать смешанный контент: он просто контролирует, должен ли браузер выполнять внутреннее 307 перенаправление на HTTPS всякий раз, когда он пытается загрузить URL-адреса HTTP, или нет. Предупреждение о смешанном содержании - это функция браузера, и все текущие браузеры это делают (Mozilla Firefox 23+, Google Chrome 21+, Internet Explorer 10+, Edge с самого начала ...). Предупреждающие блоки смешанного содержания, например
Я думаю, что ответ на этот вопрос будет зависеть от того, размещены ли сценарии, на которые вы ссылаетесь, в домене, для которого включен HSTS.
Например. если вы обслуживаете свой контент с mydomain.com и включаете HSTS для этого домена (и, возможно, субдоменов), но скрипты и другой смешанный контент, на который вы ссылаетесь, обслуживаются с otherdomain.com , который не включает HSTS, тогда возможно смешанное содержимое, и браузер все равно будет предупреждать об этом.
HSTS остановит (и поможет исправить смешанное содержимое) ресурсы, связанные через HTTP в том же домене - и, возможно, субдомен в зависимости от вашей конфигурации - они будут автоматически "обновлены" до HTTPS.
Это сделано намеренно: если HSTS работает, он получит правильное изображение (галочка по HTTPS), а если нет, то X по HTTP.
Надеюсь, браузеры перестанет выводить предупреждения о смешанном содержимом для содержимого, обновленного до HTTPS через HSTS. :)