我的網站上的某些頁面(身份驗證,付款)必須通過HTTPS提供。非安全HTTP連接的響應代碼
當客戶端通過HTTP訪問這樣的頁面時,我想將其重定向到HTTPS版本。
目前我正在使用一個Location標頭的301 Moved Permanently代碼,該標頭指向的方案修改爲HTTPS時的URL相同。
我想知道:是否存在使用錯誤協議的特定HTTP響應代碼?
某些與HTTP動詞相似的405 Method not allowed。
根據this,403.4似乎是你想要的(在IIS中),但我不相信在HTTP標準中有一個等價物。
不是這樣的,沒有— 301永久重定向在這裏是完全正確的選擇。
然而,有這樣的事,作爲HTTP Strict Transport Security(HSTS),它允許你,一旦你告知使用HTTPS使用301重定向瀏覽器,也告訴它永遠不會再次使用未加密的HTTP協議在您的網站上。這樣做的方法是包括報頭像在HTTPS響應(在重定向,這是通過純HTTP發送未)如下所示:
Strict-Transport-Security: max-age=31536000; includeSubDomains
有關更多細節,參見維基百科文章上面鏈接和RFC 6797。
響應301似乎對於登錄頁面等是合理的(其中不需要傳輸信息來加載頁面)。否則,當個人信息被髮送時,明智地說沒有找到(401),因爲有人正在調皮。檢查引薦來源網址並定期檢查日誌文件也是明智之舉。
(人民做拷貝的網站,並僞裝成你的,只是轉發流量,並收集在這個過程中:-(個人信息)
你的意思是'401 Unauthorized'還是'404 Not Found'? – Benjamin
要麼會做。真 –
信息的量好這裏 http://stackoverflow.com/questions/2554778/what-is-the-proper-http-response-to-send-for-requests-that-require-ssl –