我的 URL 重定向安全吗?
Is my URL Redirect safe?
我有以下代码可以欺骗 http 并重定向到 https,这是完全安全的最佳方法吗?这样做有什么缺点?我为什么要在服务器端做。请我想要一个完整的答案,因为我们的大公司已经实施了它,并且在有错误原因之前他们不会更改它。我们要代表我们公司感谢 Whosebug 用户帮助我们变得安全。
代码 [JS]:
if (window.location.protocol !== 'https:') {
window.location.replace(window.location.href.replace(/^http:/, 'https:'))
}
不,这不安全。
Javascript 是客户端语言,因此客户端可以控制它,想象一下客户端在哪里禁用了 javascript 或者黑客可以使用 XSS 错误来禁用此功能。在服务器端执行此操作的最佳方法是使用 .htaccess 文件:
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
使用服务器端重定向的另一个原因是搜索引擎抓取工具可以遵循此重定向。
我有以下代码可以欺骗 http 并重定向到 https,这是完全安全的最佳方法吗?这样做有什么缺点?我为什么要在服务器端做。请我想要一个完整的答案,因为我们的大公司已经实施了它,并且在有错误原因之前他们不会更改它。我们要代表我们公司感谢 Whosebug 用户帮助我们变得安全。
代码 [JS]:
if (window.location.protocol !== 'https:') {
window.location.replace(window.location.href.replace(/^http:/, 'https:'))
}
不,这不安全。 Javascript 是客户端语言,因此客户端可以控制它,想象一下客户端在哪里禁用了 javascript 或者黑客可以使用 XSS 错误来禁用此功能。在服务器端执行此操作的最佳方法是使用 .htaccess 文件:
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
使用服务器端重定向的另一个原因是搜索引擎抓取工具可以遵循此重定向。