所有的訪問 API 行為,都需要用 TLS 通過安全連接來(lái)訪問。沒有必要搞清或解釋什么情況需要 TLS 什么情況不需要 TLS,直接強(qiáng)制任何訪問都要通過 TLS。
理想狀態(tài)下,通過拒絕所有非 TLS 請(qǐng)求,不響應(yīng) http 或 80 端口的請(qǐng)求以避免任何不安全的數(shù)據(jù)交換。如果現(xiàn)實(shí)情況中無(wú)法這樣做,可以返回 403 Forbidden響應(yīng)。
把非 TLS 的請(qǐng)求重定向(Redirect)至 TLS 連接是不明智的,這種含混/不好的客戶端行為不會(huì)帶來(lái)明顯好處。依賴于重定向的客戶端訪問不僅會(huì)導(dǎo)致雙倍的服務(wù)器負(fù)載,還會(huì)使 TLS 加密失去意義,因?yàn)樵谑状畏?TLS 調(diào)用時(shí),敏感信息就已經(jīng)暴露出去了。