使用https保护webcal订阅

Question

我发布webcal URL，允许我的web应用程序的用户订阅各种日历。据我所知，识别webcal URL的应用程序将默认使用http，但我希望使用https来保护文件传输。以下apache重写规则可以工作，但这是一个合适的解决方案吗？

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]

是的，此域中的所有内容都应通过https提供服务。我知道我可以用https代替webcal，但是那样我就失去了webcal URI方案的好处(即简单的订阅)。我在网上看到了一些关于网络电话的信息，但信息很少，苹果的iCal也不喜欢它。

我计划对这些日历使用基本身份验证。先通过http发出请求，然后重定向到https会不会有问题？

Answer 1

是的，可能会有一个问题:初始请求将通过HTTP发送，包括报头等。

如果初始请求不包括凭据，然后只在第二个请求中发送对HTTP基本身份验证质询的响应，这不一定是问题，这将是HTTPS URL。但是，有些客户端可能会使用抢占式身份验证，在这种情况下，凭据将在第一个纯HTTP请求中发送(有效地以明文形式发送)。

正如我在this answer中所说的，从超文本传输协议重定向到超文本传输协议并不总是能提供人们想要的安全性。

(关于HTTPS，我认为一些客户端支持用于webcal://等效物的webcals://方案。)