Appendix B. Differences between HSTS Policy and Same-Origin Policy (Unterschiede zwischen HSTS-Richtlinie und Same-Origin-Policy)

Die HSTS-Richtlinie hat die folgenden Hauptmerkmale:

• Die HSTS-Richtlinie legt Sicherheitsmerkmalsanforderungen für die UA-zu-Host-Verbindungsherstellung fest, auf Basis pro Host.

• Ein Host deklariert explizit eine HSTS-Richtlinie an den UA. Konforme UAs sind verpflichtet, die vom Host deklarierte HSTS-Richtlinie durchzusetzen.

• Die HSTS-Richtlinie wird vom Host zum UA über das Protokoll kommuniziert.

• Der UA pflegt einen Cache bekannter HSTS-Hosts.

• Der UA wendet die HSTS-Richtlinie beim Herstellen einer HTTP-Verbindung mit einem bekannten HSTS-Host an, unabhängig von der Host-Portnummer; d. h. sie gilt für alle Ports auf dem bekannten HSTS-Host. Der Host kann diesen Aspekt der HSTS-Richtlinie nicht beeinflussen.

• Ein Host kann optional deklarieren, dass seine HSTS-Richtlinie für alle Subdomains seines Host-Domainnamens gilt.

Im Gegensatz dazu hat die Same-Origin Policy (SOP) [RFC6454] die folgenden Hauptmerkmale:

• Ein Ursprung (origin) ist das Schema (scheme), der Host (host) und der Port (port) des URI, der eine Ressource identifiziert.

• Ein UA kann einen URI dereferenzieren, wodurch eine Darstellung der vom URI identifizierten Ressource geladen wird. Der UA markiert die Ressourcendarstellung mit einem von ihrem URI abgeleiteten Ursprung.

• Die SOP bezieht sich auf eine Reihe von Prinzipien, die im UA durchgesetzt werden, die die Isolation und Kommunikation zwischen Ressourcendarstellungen sowie den Zugriff von Ressourcendarstellungen auf Netzwerkressourcen regeln.

Zusammenfassend werden sowohl die HSTS-Richtlinie als auch die SOP vom UA durchgesetzt, aber die HSTS-Richtlinie wird optional von Hosts deklariert und basiert nicht auf Ursprüngen, während die SOP für alle Ressourcendarstellungen gilt, die von konformen UAs von allen Hosts geladen werden.