API设计新论:避免HTTP至HTTPS的自动重定向
talkingdev • 2024-05-29
511349 views
在现代的Web服务中,APIs扮演着至关重要的角色,通常用于前端应用程序与后端服务之间的数据交换。然而,当前普遍存在的HTTP到HTTPS的自动重定向做法需要重新评估。许多自动API客户端,如脚本和程序,并不保留类似浏览器中的HSTS头信息这样的状态,这意味着它们无法识别HTTPS的安全性。此外,APIs被其他软件调用而非直接由用户操作,因此用户体验与安全性之间的权衡并不适用于APIs。为了保障数据传输的安全性,建议完全禁用HTTP接口,或在收到未加密请求时返回明确的错误响应。对于任何通过未加密连接发送的API凭证,应该视为已泄露,并应立即撤销。