我正在检查Strict Transport Header,服务于UI的Http端点启用了哪个
让GRPC服务中的标头不暴露在互联网上或直接提供给用户界面有意义吗?
如果是,如何为GRPC服务启用严格传输标头
我已经看到Grpctrailing-metadata标头可以与响应一起发送
但是这是添加页眉的正确方式吗?
这些服务是用Go编写的,我正在使用GRPC。
HTTP严格传输安全(HSTS(只有在客户端也支持的情况下才有用。gRPC客户端不支持,所以添加这样的头不会增加任何值。
如果客户端不支持HSTS,那么HSTS就没有用处的原因是因为报头只说";您应该仅通过HTTPS访问该资源";,但如果客户端忽略了这一点,它可以继续发出纯HTTP请求(假设服务器同时支持HTTP和HTTPS(。
此外,HSTS只有在客户端至少访问过一次资源并记住了当时接收到的头之后才能工作。对于大多数服务器到服务器的通信来说,情况并非如此。
如果要确保进出gRPC服务和客户端的数据是加密的,可以使用SSL/TLS,如上所示https://grpc.io/docs/guides/auth/#using-客户端ssltl。