api - 将非 ssl 请求重定向到 ssl 版本的站点是否安全?
问题描述
有一个 API。早些时候,所有请求都不是通过 ssl 连接发出的(使用了加密) - http://api.com/dosomething。现在逻辑变了。现在,为所有使用此 API 的客户端更改 URL 有点问题。api站点有https版本。将所有请求重定向http://api.com/dosomething到https://api.com/dosomething服务器端(apache 或 nginx)是否安全?这个怎么运作?
解决方案
您的 API 使用者清楚地传输所有内容:所有数据、身份验证等。在您的新服务器上,您重定向到“相同”的 URL,只是使用 https?https 连接现在将是安全的,但您的所有数据和身份验证早已泄露。
由于我们对您的 API 使用者一无所知,因此从技术上讲,它可能是一个支持“安全”cookie 的 Web 浏览器,例如,它可能不会以明文形式传输身份验证。但是,所有的数据都已经出来了。正如您所说,您无法更新客户端,我假设您不在这种情况下。
所以:答案是否定的,它不安全。淘汰旧 API,跟踪访问它的任何人。一旦他们足够少,通知他们停止http服务以便他们升级。或者保持不安全 - 选择你的毒药。
推荐阅读
- python-3.x - Sublime Text 3 中的 Yapf(python 文件的格式化程序)不起作用。访问被拒绝
- windows - 是否可以在 Windows 中使用命令行重命名多个目录?
- javascript - 我可以解释 (1 + undefined) 隐式强制转换 JS 中的怪异行为吗?
- css - Nuxt 中的条件样式表
- reactjs - React - 使用 JSON 存储数据
- plpgsql - 从客户端,这与 SELECT 完美配合并返回布尔值。但是,作为 Function 它不能作为 plpgsl
- reactjs - 当我使用句柄登录方法时,它会导致“超出最大更新深度”
- ios - iOS SwiftUI:子视图中的数据流流@ObservedObject
- c# - 如何发布到休息 api 并使用 c# 中的非结束流?
- node.js - 如何从 fs.statSync 存根 isFile