漫话开发者 - UWL.ME 精选全球AI前沿科技和开源产品

API设计新论:避免HTTP至HTTPS的自动重定向

talkingdev • 2024-05-29

598730 views

在现代的Web服务中,APIs扮演着至关重要的角色,通常用于前端应用程序与后端服务之间的数据交换。然而,当前普遍存在的HTTP到HTTPS的自动重定向做法需要重新评估。许多自动API客户端,如脚本和程序,并不保留类似浏览器中的HSTS头信息这样的状态,这意味着它们无法识别HTTPS的安全性。此外,APIs被其他软件调用而非直接由用户操作,因此用户体验与安全性之间的权衡并不适用于APIs。为了保障数据传输的安全性,建议完全禁用HTTP接口,或在收到未加密请求时返回明确的错误响应。对于任何通过未加密连接发送的API凭证,应该视为已泄露,并应立即撤销。

核心要点

  • 重新评估API自动重定向至HTTPS的实践
  • 建议禁用HTTP接口或返回明确错误响应
  • 未加密连接发送的API凭证应被视为已泄露并撤销

Read more >