在OpenID提供程序的Headers中发现不一致。在我的STS和依赖方中，哪一个是最安全的？

Question

我正在比较不同提供商(LiveID、谷歌、雅虎等)的headers，并注意到在页面登录、注销页面和后续页面的实现方面存在着广泛的不一致。

应该设置/忽略哪些标头，以及在下列场景中使用的正确值是什么：

• SignIn
• 一般使用(只限于HTTPS站点，或常规HTTP)
• SignOut

下面是我注意到的标题列表，以及它们之间的区别。我确信每一家公司都有聪明的人来实现或忽略某些头，这是有原因的；我只是不知道哪个提供者有最好的实现。

我敢打赌，每个供应商都有其他供应商可以从中学习的东西。

到期：

• LiveID将过期标头设置为当前时间的前一分钟。
• Google和MyOpenID的过期标头等于当前时间。
• 雅虎在清华到期，1995年1月5日22:00格林尼治时间
• 在清华期满，1970年1月1日格林尼治时间:00:00
• 脸书到期日期2000年1月1日格林尼治时间00:00
• ADFSv2 -1
• 不存在于Azure ACS

缓存控制：

• 雅虎和Azure ACS:私有
• Facebook:私有，无缓存，无存储，必须重新验证
• MyOpenID:最大年龄=86400
• PIP:无缓存，无存储，最大年龄=0
• ADFSv2:无缓存

Pragma

• 雅虎，LiveID，Facebook:无缓存
• 谷歌，MyOpenID，Azure值不存在。

内容-类型-选项：IE8详细信息，IE9详细信息

• Azure ACS，Google : nosniff

X-XSS-保护详细信息 更多细节

• 脸书，LiveID，ADFSv2 :0
• 谷歌: 1；mode=block
• 不存在于Azure、ACS和其他供应商中

X-框架-选项 更多细节

• 雅虎:X帧-选项:拒绝
• Google: SAMEORIGIN

访问-控制-允许-来源 (如何使用多个域)

• 谷歌(适用条件)

严格-运输-安全也见如何禁用以进行调试

• 谷歌(适用条件)
• PayPal / Lastpass (500秒=8分钟以上)
• market.android.com (2592000秒= 30天)

用于非常老版本的Netscape的X-Pad // A修复

• Verisign

最后，有趣的是，Facebook有两个关于HTTP X-Cnection: close和Connection: Keep-Alive的头。我不确定它们是否相关，但为了完整起见，我将它们包括在这里。

Answer 1

使用HTTPS，cachin/expires就不重要了。X-XSS-保护与谷歌一样。严格-传输-安全(和子域指令)嗅探，指责IE。X-脚垫.如果有人使用网景..。还有更大的问题。