V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Phishion
V2EX  ›  服务器

请问不做 https 强制跳转有何坏处?

  •  
  •   Phishion · 2021-02-27 19:42:42 +08:00 · 2171 次点击
    这是一个创建于 1397 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我有一个接口,有时候调试方便用 http 也可以访问,当然用户侧都是我程序控制的,所以必然都是 https 连接,我有必要做 https 强制跳转么?

    6 条回复    2021-02-28 20:21:22 +08:00
    yfwl
        1
    yfwl  
       2021-02-27 23:27:09 +08:00   ❤️ 1
    没必要,因为你这个接口在相对上来说已经是强制跳转了,因为你在应用层那边让他强制 SSL 了,在你这边强制 SSL 就没必要了,一般为什么要强制 SSL ? 因为一般访问没做限制,加不加 SSL 都可访问,所以需要强制跳转到 SSL,为了防止劫持的
    Ptu2sha
        2
    Ptu2sha  
       2021-02-27 23:34:50 +08:00   ❤️ 1
    没有
    Phishion
        3
    Phishion  
    OP
       2021-02-27 23:38:54 +08:00
    谢谢各位解答,这样我就放心了
    @yfwl
    @Ptu2sha
    OldActorsSmile
        4
    OldActorsSmile  
       2021-02-27 23:45:05 +08:00
    api 无所谓,如果是网页,会导致百度收录两个网址,一个 https 一个 http
    tin3w5
        5
    tin3w5  
       2021-02-28 18:31:29 +08:00 via iPhone
    一个早些年在某云服务商的 case,有一定的参考价值。

    A 公司与 B 公司是竞争关系,A 公司新上线一个没设置 https 强制跳转的业务,B 公司请黑客频繁向 A 公司新业务的 http 服务发送带有敏感词汇的请求。不久后 A 公司业务中断……

    谁中断的不重要,不加密的请求所引发 IDS/IPS 将不了解业务的中断的 case 应该不在少数吧!
    Phishion
        6
    Phishion  
    OP
       2021-02-28 20:21:22 +08:00
    @tin3w5 真到这一步,人家有 1W 种办法弄死你,唉
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   989 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:40 · PVG 05:40 · LAX 13:40 · JFK 16:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.