Strict-Transport-Securityのpreloadとは何なのでしょうか。

Strict-Transport-Securityのpreloadについて知りたいです

Webブラウザに対してSSL/TLSの利用を強制して盗聴を防ぐHSTSという仕組みがあります。これはレスポンスヘッダに特定のヘッダ(Strict-Transport-Security)を含み、ブラウザに指示することで実現されています。しかし最初の1回はヘッダの有無がわからないので平文で通信してしまい、攻撃を受ける可能性があります。
そこでブラウザ内で予め登録されたドメインのリストを持っておき、それらに対しては最初からhttpsを使うというプリロードと呼ばれる仕組みがあります。

ここまではわかります。

ところでStrict-Transport-Securityヘッダにpreloadという引数を設定することもできます。
Strict-Transport-Security - HTTP | MDN

Strict-Transport-Security: max-age=<expire-time>; preload

これはいったい何なのでしょうか。そもそも最初の1回でHSTSヘッダを確認できないからプリロードの仕組みを用意するのに、その確認できないヘッダにpreload引数を入れても意味が無いのではないでしょうか。

コメントを投稿

0 コメント