http->https 的 301 跳转请求也是会暴露 url 的吧cherbim3年前发布950https 本身肯定是安全的,除了域名(不考虑 esni)和端口之外,url 后面的部分是不可见的。但是现在网站基本上都是 http+https 同步支持的,http 依靠 301 跳转到 https 来支持 https 访问,也就是会先发起一个 http 请求,然后服务器返回一个 301 代码,并在返回的内容中送回要跳转过去的 https 地址(基本上没意外的就是加了个 s)。当然一般的配置中,这个 301 跳转本身并不判断这个 url 是否存在,你任意提交 http 地址人家只是加个 s 返回给你而已,并不能通过这个 301 返回信息判断出某个 url 是否存在或有效。之所以提这个问题,是考虑一些特殊的应用(例如机场订阅、或者一些私人使用的资源)的存在,如果这类地址的编码有一定的规律或者特征可以匹配,其实 http 请求也是挺危险,感觉这种情况下还是要彻底关掉 80 端口,让 tcp 握手都无法完成才比较安全。
没有回复内容