我们的网站目前将发送到的请求重定向http://example.com到https://example.com——除此之外的所有内容都通过 SSL 提供。目前,重定向是通过 Apache 重写规则完成的。
然而,我们的网站正在处理金钱,因此安全性非常重要。以这种方式允许 HTTP 会带来比不打开或侦听端口 80 更大的安全风险吗?理想情况下,重定向对用户更友好一些。
(我知道 SSL 只是大量安全注意事项中的一个,所以请大胆假设我们至少在涵盖各种安全基础方面做得“非常好”。)
AskOverflow.Dev
您通过将 http 重定向到 https(假设您使用 301 重定向)来做正确的事情。
您应该强烈考虑做的另一件事是启用严格的传输安全,以便浏览器知道这是一个他们应该只通过 https 连接的网站。
如果操作不当,它实际上会造成安全问题,但考虑到世界上最大的银行和金融公司 [有效地] 为他们的在线服务这样做,我认为你是安全的,或者至少是好公司。
Stack Overflow 在该主题上有一个较旧的线程,并且正如观察到的那样,您要确保启用HSTS,否则可能会出现 MiTM 攻击和潜在会话劫持问题。
顺便说一句,推荐的方法是使用
VirtualHost规则而不是mod_rewrite.