我们开发了一个桌面应用程序,它向我们自己的API端点发出请求。现在,桌面应用程序向我们的API发出的所有请求都是HTTP。我现在希望对应用程序中的所有这些请求进行加密。简单地做一个.htaccess HTTP到HTTPS的重定向就足够了吗?或者我是否需要进入应用程序并确保每个请求都以HTTPS开头?
您确实需要首先确保每个API请求都是通过HTTPS完成的。
重定向(如果它甚至适用于 POST 请求)只会导致请求被发送两次(第一次是未加密的,以便窃听者可以读取所有内容)。
此外,如果您的应用程序不需要 HTTPS(可能带有固定的服务器证书),它就会受到中间人攻击:中间人可以拦截请求,从不将您连接到 HTTPS,随意更改响应数据,您的应用程序不会介意。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium