标签: security http mobile
如果我的移动应用仅使用HTTPS向我的API发出请求,是否需要担心强制HTTPS /禁止HTTP请求?
答案 0 :(得分:2)
是的,你这样做。 TLS容易被称为Downgrade Attack。因此,请务必使用HSTS (HTTP Strict Transport Security)将其强制为HTTPS,并禁止在应用程序服务器中使用正常的HTTP请求。