Comments 3
preload- является необязательным параметром.
Необязательным параметром является includeSubDomains а preload является несуществующим параметром, которого нет в стандарте - это частные фантазии Гугла. Впрочем, полезность HSTS сильно преувеличена: если он передается по HTTP, то, кхм, он передается только по милости MitM, а если по HTTPS, то заявляет о том, что масло - масляное.
Дальше все не интересно до CSP, который уже неинтересен Вам, раз Вы про него толком не расказали. А про SRI вообще забыли.
Мда. Очередное облизывание кропсов и только.
Лучше бы описали заголовки в целом. Какие обязательные, какие не очень. От чего может браузер делать запрос через OPTIONS и какие различия в запросах между простой загрузкой страницы и вебсокета.
В целом вообщем затронуть заголовки. Такий статей одним куском на ру-сегменте я не встречал. А про кропсы было и будет написано 100500 статей, так как горячая возникающая у каждого новичка.
Если кто вдруг набрёл на эту статейку, то лучше глянь сюда https://portswigger.net/web-security/all-topics#client-side-topics
Там будет сильно больше инфы, узнаешь про костыли в именовании кукисов, что какая-то настройка не работает в первые 2 минуты, если явно это не отключить, что тот же CSP репортит только, если настроен через заголовок, а не мета-тег и много такого разного
И главное - всё распробуешь там же на месте
Вальяжной походкой по HTTP-заголовкам