我们的网站目前将发送到http://example.com请求redirect到https://example.com – 除此以外的所有内容都通过SSL提供。 目前,redirect是通过Apache重写规则完成的。
然而,我们的网站正在处理金钱,所以安全性非常重要。 允许HTTP以这种方式构成更大的安全风险,而不仅仅是打开或监听端口80? 理想情况下,redirect更方便用户。
(我知道SSL只是一大套安全考虑因素之一,所以请慷慨地假设,我们至less做了一个覆盖各种安全基础的“非常好”的工作)。
你通过将httpredirect到https来做正确的事情(假设你使用301redirect)。
您应该强烈考虑的另一件事是启用严格的传输安全性,以便浏览器知道这是一个网站,他们应该只通过https连接到。
如果做错了,实际上可能会造成一个安全问题,但鉴于世界上最大的银行和金融机构[有效地]为他们的在线服务做这件事,我认为你是安全的,或者至less是在一个好的公司。
堆栈溢出在主题上有一个较老的线程 ,正如所观察到的,您希望确保您启用HSTS ,否则存在潜在的MiTM攻击和潜在的会话劫持问题。
顺便说一下,推荐的方法是使用VirtualHost规则而不是mod_rewrite 。