Appendix B. Differences between HSTS Policy and Same-Origin Policy (HSTS策略与同源策略的差异)

HSTS策略具有以下主要特征:

• HSTS策略规定了UA到主机连接建立的安全特性要求, 基于每个主机.

• 主机向UA显式声明HSTS策略. 符合标准的UA有义务实施主机声明的HSTS策略.

• HSTS策略通过协议从主机传达给UA.

• UA维护已知HSTS主机的缓存.

• UA在与已知HSTS主机建立HTTP连接时应用HSTS策略, 无论主机端口号如何; 即, 它适用于已知HSTS主机上的所有端口. 主机无法影响HSTS策略的这一方面.

• 主机可以选择性地声明其HSTS策略适用于其主机域名的所有子域.

相比之下, 同源策略 (Same-Origin Policy, SOP) [RFC6454] 具有以下主要特征:

• 来源 (origin) 是标识资源的URI的方案 (scheme)、主机 (host) 和端口 (port).

• UA可以解引用URI, 从而加载URI标识的资源的表示. UA用从其URI派生的来源标记资源表示.

• SOP指的是一组在UA内实施的原则, 管理资源表示之间的隔离和通信, 以及资源表示对网络资源的访问.

总之, 虽然HSTS策略和SOP都由UA强制执行, 但HSTS策略是由主机选择性声明的, 并且不基于来源, 而SOP适用于符合标准的UA从所有主机加载的所有资源表示.