Appendix B. Differences between HSTS Policy and Same-Origin Policy (Différences entre la Politique HSTS et la Politique de Même Origine)

La politique HSTS présente les caractéristiques principales suivantes :

• La politique HSTS stipule les exigences de caractéristiques de sécurité pour l'établissement de connexion du UA à l'hôte, sur une base par hôte.

• Un hôte déclare explicitement une politique HSTS au UA. Les UA conformes sont obligés d'appliquer la politique HSTS déclarée par l'hôte.

• La politique HSTS est communiquée de l'hôte au UA via le protocole.

• Le UA maintient un cache d'hôtes HSTS connus.

• Le UA applique la politique HSTS lors de l'établissement d'une connexion HTTP avec un hôte HSTS connu, quel que soit le numéro de port de l'hôte; c'est-à-dire qu'elle s'applique à tous les ports sur l'hôte HSTS connu. L'hôte ne peut pas influencer cet aspect de la politique HSTS.

• Un hôte peut optionnellement déclarer que sa politique HSTS s'applique à tous les sous-domaines de son nom de domaine d'hôte.

En revanche, la Politique de Même Origine (Same-Origin Policy, SOP) [RFC6454] présente les caractéristiques principales suivantes :

• Une origine (origin) est le schéma (scheme), l'hôte (host) et le port (port) de l'URI identifiant une ressource.

• Un UA peut déréférencer un URI, chargeant ainsi une représentation de la ressource identifiée par l'URI. Le UA marque la représentation de la ressource avec une origine dérivée de son URI.

• La SOP fait référence à un ensemble de principes appliqués dans le UA, régissant l'isolation et la communication entre les représentations de ressources, et l'accès des représentations de ressources aux ressources réseau.

En résumé, bien que la politique HSTS et la SOP soient toutes deux appliquées par le UA, la politique HSTS est optionnellement déclarée par les hôtes et n'est pas basée sur les origines, tandis que la SOP s'applique à toutes les représentations de ressources chargées par les UA conformes depuis tous les hôtes.