admin 请问不做 https 强制跳转有何坏处?
我有一个接口,有时候调试方便用 http 也可以访问,当然用户侧都是我程序控制的,所以必然都是 https 连接,我有必要做 https 强制跳转么?
----------------------- 以下是精选回复-----------------------
答:没必要,因为你这个接口在相对上来说已经是强制跳转了,因为你在应用层那边让他强制 SSL 了,在你这边强制 SSL 就没必要了,一般为什么要强制 SSL ? 因为一般访问没做限制,加不加 SSL 都可访问,所以需要强制跳转到 SSL,为了防止劫持的
答:没有
答:api 无所谓,如果是网页,会导致百度收录两个网址,一个 https 一个 http
答:一个早些年在某云服务商的 case,有一定的参考价值。
A 公司与 B 公司是竞争关系,A 公司新上线一个没设置 https 强制跳转的业务,B 公司请黑客频繁向 A 公司新业务的 http 服务发送带有敏感词汇的请求。不久后 A 公司业务中断……
谁中断的不重要,不加密的请求所引发 IDS/IPS 将不了解业务的中断的 case 应该不在少数吧!
0条评论