我们开发了一个桌面应用程序,它向我们自己的API端点发出请求。现在,桌面应用程序对我们的API所做的所有请求都是HTTP。我现在希望加密应用程序内的所有请求。只需简单地执行.htaccess HTTP到HTTPS重定向即可实现吗?或者我是否需要进入应用程序并确保每个请求都以HTTPS开头?
答案 0 :(得分:4)
您确实需要确保每个API请求都是通过HTTPS完成的。
重定向(如果它甚至可以与POST请求一起使用)只会导致请求被发送两次(并且第一个请求将被解密,以便窃听者可以读取所有内容)。
此外,如果您的应用程序不需要HTTPS(可能带有固定服务器证书),则会受到中间人攻击:中间人可以拦截请求,永远不会将您连接到HTTPS,随意更改响应数据,您的应用不会介意。