Força o navegador a enviar o primeiro pedido via HTTPS se o usuário acessar a página por meio de HTTP

3

Algum tempo atrás, eu encontrei a possibilidade de impedir que o navegador estabelecesse conexões não seguras com um servidor. Eu já redireciono meus usuários de HTTP para HTTPS, mas se um usuário envia uma Solicitação com dados confidenciais para http primeiro e recebe um redirecionamento para HTTPS, os dados já foram enviados para o servidor via HTTP.

    
por Maximilian Ruta 08.05.2012 / 23:09

3 respostas

1

Eu estava procurando pelo cabeçalho HTTP Strict-Transport-Security. link

    
por 09.05.2012 / 09:19
3

Não há absolutamente nada que você possa fazer para impedir que alguém envie dados em texto não criptografado. O único controle que você tem é como o seu servidor responde a ele, se em tudo. Com isso em mente, sugiro que você use meios normais para rejeitar a solicitação imediatamente ou simplesmente redirecioná-la para HTTPS. Realisticamente não há mais nada que você possa fazer.

    
por 08.05.2012 / 23:33
1

Você poderia configurar o servidor da Web para não escutar na porta 80. Dessa forma, não haverá nenhum TCP Handshake e o navegador nem enviará seu primeiro pacote de dados. Obviamente, o redirecionamento não funcionará mais.

    
por 08.05.2012 / 23:12

Tags