所有的訪問 API 行為��,都需要用 TLS 通過安全連接來訪問�����。沒有必要搞清或解釋什么情況需要 TLS 什么情況不需要 TLS�,直接強制任何訪問都要通過 TLS。
理想狀態(tài)下�����,通過拒絕所有非 TLS 請求���,不響應(yīng) http 或 80 端口的請求以避免任何不安全的數(shù)據(jù)交換�����。如果現(xiàn)實情況中無法這樣做,可以返回 403 Forbidden響應(yīng)��。
把非 TLS 的請求重定向(Redirect)至 TLS 連接是不明智的��,這種含混/不好的客戶端行為不會帶來明顯好處���。依賴于重定向的客戶端訪問不僅會導致雙倍的服務(wù)器負載�,還會使 TLS 加密失去意義�����,因為在首次非 TLS 調(diào)用時��,敏感信息就已經(jīng)暴露出去了。
