8.1. Обработка поля заголовка отклика Strict-Transport-Security
Если отклик HTTP, полученный через безопасный канал, содержит поле заголовка STS, соответствующее грамматике, специфицированной в разделе 6.1 ("Strict-Transport-Security HTTP Response Header Field"), и нет ошибок или предупреждений транспортной безопасности (смотри раздел 8.4), агент пользователя должен либо:
Пометить компьютер, как известный HSTS-компьютер, если он не был помечен ранее (смотри раздел 8.1.1 ("Noting an HSTS-компьютер — Storage Model")),
либо
Обновить кэшированную информацию агента пользователя для известного HSTS-компьютера, если значения полей заголовка max-age и includeSubDomains содержат информацию, отличную от той, которую уже имел агент пользователя.
Значение max-age является временем жизни, привязанным к моменту получения поля заголовка STS.
Если значение поле заголовка max-age равно нулю, агент пользователя должен удалить свою кэшированную информацию политики HSTS (включая директиву includeSubDomains, если она специфицирована), если HSTS-компьютер известен, или агент пользователя не должен замечать этот HSTS-компьютер, если он еще не известен.
Если агент пользователя получает в HTTP-отклике через безопасный канал более одного поля заголовка STS, тогда агент пользователя должен обрабатывать только первое из полей заголовка.
В противном случае:
Если HTTP-отклик получен через небезопасный канал, агент пользователя должен игнорировать любое поле заголовка STS.
UA должен игнорировать любые поля заголовка STS, не соответствующие грамматике, специфицированной в разделе 6.1 ("Strict-Transport-Security HTTP Response Header Field").