前段时间,我发现了一种可以防止浏览器与服务器建立任何不安全连接的方法。我已经将用户从 HTTP 重定向到 HTTPS,但如果用户首先将包含敏感数据的请求发送到 http,然后重定向到 HTTPS,则数据已通过 HTTP 发送到服务器。
答案1
您绝对无法阻止任何人以明文形式发送数据。您唯一能控制的就是您的服务器如何响应它(如果有的话)。考虑到这一点,我建议您使用正常手段直接拒绝请求或简单地将其重定向到 HTTPS。实际上您没有其他办法。
答案2
答案3
您可以将 Web 服务器配置为不监听端口 80。这样就不会发生 TCP 握手,浏览器甚至不会发送第一个数据包。显然,重定向将不再起作用。