所有的訪問 API 行為����,都需要用 TLS 通過安全連接來訪問�����。沒有必要搞清或解釋什么情況需要 TLS 什么情況不需要 TLS���,直接強(qiáng)制任何訪問都要通過 TLS���。
理想狀態(tài)下,通過拒絕所有非 TLS 請求�����,不響應(yīng) http 或 80 端口的請求以避免任何不安全的數(shù)據(jù)交換���。如果現(xiàn)實(shí)情況中無法這樣做���,可以返回 403 Forbidden響應(yīng)���。
把非 TLS 的請求重定向(Redirect)至 TLS 連接是不明智的,這種含混/不好的客戶端行為不會帶來明顯好處�����。依賴于重定向的客戶端訪問不僅會導(dǎo)致雙倍的服務(wù)器負(fù)載�,還會使 TLS 加密失去意義,因為在首次非 TLS 調(diào)用時����,敏感信息就已經(jīng)暴露出去了。
