所有的訪問 API 行為,都需要用 TLS 通過安全連接來訪問。沒有必要搞清或解釋什么情況需要 TLS 什么情況不需要 TLS,直接強(qiáng)制任何訪問都要通過 TLS。
理想狀態(tài)下,通過拒絕所有非 TLS 請求,不響應(yīng) http 或 80 端口的請求以避免任何不安全的數(shù)據(jù)交換。如果現(xiàn)實(shí)情況中無法這樣做,可以返回 403 Forbidden響應(yīng)。
把非 TLS 的請求重定向(Redirect)至 TLS 連接是不明智的,這種含混/不好的客戶端行為不會帶來明顯好處。依賴于重定向的客戶端訪問不僅會導(dǎo)致雙倍的服務(wù)器負(fù)載,還會使 TLS 加密失去意義,因為在首次非 TLS 調(diào)用時,敏感信息就已經(jīng)暴露出去了。