This topic created in 1896 days ago, the information mentioned may be changed or developed.
我有一个接口,有时候调试方便用 http 也可以访问,当然用户侧都是我程序控制的,所以必然都是 https 连接,我有必要做 https 强制跳转么?
 |
1
yfwl Feb 27, 2021  1
没必要,因为你这个接口在相对上来说已经是强制跳转了,因为你在应用层那边让他强制 SSL 了,在你这边强制 SSL 就没必要了,一般为什么要强制 SSL ? 因为一般访问没做限制,加不加 SSL 都可访问,所以需要强制跳转到 SSL,为了防止劫持的
|
 |
2
Ptu2sha Feb 27, 2021 1
没有
|
 |
4
OldActorsSmile Feb 27, 2021
api 无所谓,如果是网页,会导致百度收录两个网址,一个 https 一个 http
|
 |
5
tin3w5 Feb 28, 2021 via iPhone
一个早些年在某云服务商的 case,有一定的参考价值。
A 公司与 B 公司是竞争关系,A 公司新上线一个没设置 https 强制跳转的业务,B 公司请黑客频繁向 A 公司新业务的 http 服务发送带有敏感词汇的请求。不久后 A 公司业务中断…… 谁中断的不重要,不加密的请求所引发 IDS/IPS 将不了解业务的中断的 case 应该不在少数吧! |
Select Language