Appendix B. Differences between HSTS Policy and Same-Origin Policy (HSTSポリシーと同一生成元ポリシーの違い)
HSTSポリシーには以下の主な特徴がある:
-
HSTSポリシーは、ホストごとに、UAからホストへの接続確立のセキュリティ特性要件を規定する。
-
ホストはUAにHSTSポリシーを明示的に宣言する。準拠するUAは、ホストが宣言したHSTSポリシーを実施する義務がある。
-
HSTSポリシーはプロトコルを介してホストからUAに伝達される。
-
UAは既知のHSTSホストのキャッシュを維持する。
-
UAは既知のHSTSホストとのHTTP接続確立時にHSTSポリシーを適用する。ホストのポート番号に関係なく; つまり、既知のHSTSホスト上のすべてのポートに適用される。ホストはHSTSポリシーのこの側面に影響を与えることができない。
-
ホストはオプションで、そのHSTSポリシーがホストのドメイン名のすべてのサブドメインに適用されることを宣言できる。
対照的に、同一生成元ポリシー (Same-Origin Policy, SOP) [RFC6454] には以下の主な特徴がある:
-
生成元 (origin) は、リソースを識別するURIのスキーム (scheme)、ホスト (host)、およびポート (port) である。
-
UAはURIを逆参照できる。これにより、URIによって識別されるリソースの表現が読み込まれる。UAは、そのURIから派生した生成元でリソース表現にタグを付ける。
-
SOPは、UA内で実施される一連の原則を指す。リソース表現間の分離と通信、およびリソース表現によるネットワークリソースへのアクセスを管理する。
要約すると、HSTSポリシーとSOPの両方がUAによって実施されるが、HSTSポリシーはホストによって選択的に宣言され、生成元に基づいていないのに対し、SOPは準拠するUAがすべてのホストから読み込むすべてのリソース表現に適用される。