RFC 7540 第 10 节是一个安全考虑部分，记录了实施和/或使用 HTTP/2 时的许多安全注意事项。简要地：

• 10.1。服务器权限
• 10.2. 跨协议攻击
• 10.3. 中间封装攻击
• 10.4. 推送响应的可缓存性
• 10.5。拒绝服务注意事项
• 10.5.1。标题块大小的限制
• 10.5.2. 连接问题
• 10.6。使用压缩
• 10.7。填充物的使用
• 10.8。隐私注意事项

HTTP/1 的大多数常规安全考虑仍然有效，因为 HTTP/2 具有与 HTTP/1 相同的应用程序级语义。

从加密的角度来看，HTTP/2 至少需要支持 TLS1.2，这意味着将使用 AEAD 密码（即最先进的加密）对通信通道进行加密。