7. セキュリティに関する考慮事項 (Security Considerations)
7.1. 428 事前条件が必要 (Precondition Required)
428 ステータスコードはオプションです。クライアントは、"更新の喪失" 競合を防ぐためにその使用に依存することはできません。
7.2. 429 リクエストが多すぎます (Too Many Requests)
サーバーが攻撃を受けているとき、または単一の相手から非常に多数のリクエストを受信しているとき、それぞれに 429 ステータスコードで応答するとリソースを消費します。
したがって、サーバーは 429 ステータスコードを使用する必要はありません。リソース使用を制限する場合、接続を切断するか、他の手段を講じる方が適切な場合があります。
7.3. 431 リクエストヘッダーフィールドが大きすぎます (Request Header Fields Too Large)
サーバーは 431 ステータスコードを使用する必要はありません。攻撃を受けているとき、接続を切断するか、他の手段を講じる方が適切な場合があります。
7.4. 511 ネットワーク認証が必要 (Network Authentication Required)
一般的な使用では、511 ステータスコードを含むレスポンスは、リクエストの URL で示されるオリジンサーバーから来るものではありません。これは多くのセキュリティ上の問題を引き起こします。例えば、攻撃する中間者が元のドメインの名前空間に cookie を挿入する可能性があり、ユーザーエージェントから送信される cookie や HTTP 認証資格情報を観察する可能性があります。
ただし、これらのリスクは 511 ステータスコードに固有のものではありません。つまり、このステータスコードを使用していないキャプティブポータルでも同じ問題が発生します。
また、セキュアソケットレイヤー (SSL) またはトランスポート層セキュリティ (TLS) 接続 (通常はポート 443) でこのステータスコードを使用するキャプティブポータルは、クライアント上で証明書エラーを生成することに注意してください。