我正在尝试将传入请求重定向到 https://www.domain.com/和所有 https://www.domain.com/ {所有页面}并且没有什么麻烦。我试过的方法:
添加此行:
Redirect permanent/https://www.domain.com/to myhttpd.confis causing too many redirect使用 .htaccess 与 mod_rewrite 重定向以 302 Moved page with a broken link 结尾。
我想要的是:
- 将所有请求重定向到 https://www.domain.com/,包括 http://www.domain.com/signup 和类似的页面到 < strong>https版本
我已经搜索了很多关于此的主题,但它们似乎不适用于我的设置。我应该如何处理这个问题?
最佳答案
这种方法有一个明显的问题 - 如果您执行自动非 SSL 重定向到 SSL 网页,您将失去 SSL 应提供的安全性。即,如果有人可以对您的非 SSL Web 服务器进行 MITM,他们可以重定向到他们自己的有效 SSL 服务器(使用真实证书),而浏览器不会知道其中的区别。
即http://www.example.com重定向到 https://www.example.com , 可以被一个人在中间攻击中颠覆,其中假 http://www.example.com重定向到 https://i-will-steal-your-credit-card.com ,只要 i-will-steal-your-creditcard.com 有一个有效的证书,浏览器就不会提醒用户有任何问题,用户会看到小锁图标并认为一切正常并开始输入信用卡号码。
更好的做法是让页面说明他们真正想要的是 URL 的 SSL 版本和可点击的链接。当然,坏人也可以做同样的事情,但偏执狂的人总是会验证他们点击的链接是否真的链接到它所说的内容。
诚然,大多数人并不偏执,而且会对额外的步骤感到不满 - 因此,如果您有任何营销人员在您的上游做出有关此问题的决定 - 很可能您最终会这样做 http->https 自动重定向.这是因为营销人员和客户通常不了解 SSL。
关于Apache 强制 SSL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8772534/