我们的网站目前将发送至的请求重定向http://example.com
至https://example.com
-- 除此之外的所有内容均通过 SSL 提供。目前,重定向是通过 Apache 重写规则完成的。
但是,我们的网站与金钱打交道,因此安全性非常重要。以这种方式允许 HTTP 会带来比不打开或监听端口 80 更大的安全风险吗?理想情况下,重定向对用户来说更友好一些。
(我知道 SSL 只是众多安全考虑因素之一,因此请慷慨地假设我们至少在涵盖各种安全基础方面做得“非常好”。)
答案1
通过将 http 重定向到 https(假设您使用 301 重定向),您做了正确的事情。
您应该认真考虑做的另一件事是启用严格的运输安全这样浏览器就知道这是一个只能通过 https 连接的网站。
答案2
事实上能如果操作不当,会产生安全问题,但考虑到世界上最大的银行和金融公司[有效地]为他们的在线服务这样做,我认为你是安全的,或者至少在良好的公司中。
Stack Overflow 上有一篇关于该主题的旧帖子,正如所观察到的,你要确保你启用高速传输系统,否则存在 MiTM 攻击和潜在会话劫持的潜在问题。
顺便说一下,建议使用VirtualHost
规则而不是mod_rewrite
。