من یک API Flask ایجاد میکنم و من تا حدودی نا آشنا با سطوح حمله که در مسیر هدایت از HTTP به HTTPS وجود دارد یا درخواست HTTP زمانی که هدر HSTS قبلا ارسال شده بود
اجازه دهید بگوییم کاربر درخواست مسیر را می کند user @ pass: بیش از HTTP. آنها می توانند باشند:
- به HTTPS هدایت می شود، و نه لزوما متوجه می شوند که درخواست های HTTP همیشه هدایت می شوند، بدین معنی که می توانند این کار را ادامه دهند.
- مسدود شده است. همه تلاش برای HTTP با پاسخ "ممنوع" برخی از انواع خدمت می کنند. آنها متوجه خواهند شد، زیرا نمیتوانند به نقطه پایانی دسترسی پیدا کنند، اما حدس می زنم که داده ارسال شده هنوز نشان داده شده است.
اگر یک کاربر با هدر Basic Authentication با HTTP ارسال می کند و به HTTPS هدایت می شود، یا به صورت بازنویسی یا با HSTS در محل، آیا اطلاعات هنوز معلوم نشده است؟
اگر چنین است، می توانم تصور کنم که مسدود کردن HTTP یک روش موثرتر برای گفتن به کاربر برای متوقف کردن درخواست مسیر HTTP است. تغییر مسیر هرگز باعث نمی شود که آنها واقعا از HTTP برای درخواست اولیه استفاده کنند.
من احساس می کنم که ممکن است برخی از ویژگی های تغییر مسیر را که هنوز امنیت داده ها ارسال می شوند را نادیده بگیرم …
