Приложение B. Отличия обычной политики и политики HSTS
Политика HSTS имеет следующие исходные характеристики:
Политика HSTS обуславливает требования для характеристик соединения агента пользователя и компьютера.
Компьютеры декларируют политику HSTS агентам пользователя. Стандартные агенты пользователя обязаны выполнять объявленную компьютером HSTS-политику.
Политика HSTS передается через протокол от компьютера к агенту пользователя.
Агент пользователя поддерживает кэш известных HSTS-компьютеров.
Агенты пользователя применяют политику HSTS всякий раз, осуществляя HTTP-соединение с известным HSTS-компьютером, вне зависимости от номера порта; то-есть, политика применяется ко всем портам известного HSTS-компьютера. Компьютеры не могут влиять на этот аспект политики HSTS.
Компьютеры могут опционно декларировать, что их политика HSTS относится ко всем субдоменам доменного имени компьютера.
Напротив, Same-Origin Policy (SOP — правило ограничения домена) [RFC-6454] имеет следующие базовые характеристики:
Источником (отправителем) может являться схема, компьютер и порт URI, идентифицирующий ресурс.
Агент пользователя может разыменовывать URI, таким образом, загружая образ ресурса, который идентифицирует URI. Агенты пользователя присваивают ресурсам метки, которые получаются из их URI.
SOP относится к совокупности принципов, используемых в агентах пользователя, и управляющих изоляцией и коммуникациями между представлениями ресурса для данного агента пользователя, а также доступом представлений ресурса в отношении сетевых ресурсов.
Таким образом, хотя как политика HSTS, так и SOP задаются агентами пользователя, политика HSTS опционно декларируется компьютерами и не базируется на источнике (не origin-based), в то время как SOP приложима ко всем ресурсам, загруженным со всех компьютеров стандартными агентами пользователя.