如果用户通过HTTP访问页面，则强制浏览器通过HTTPS发送第一个请求

Question

不久前，我发现有可能阻止浏览器建立到服务器的任何不安全连接。我已经将用户从HTTP重定向到HTTPS，但是如果用户首先向HTTP发送带有敏感数据的请求并获得对HTTPS的重定向，则数据已经通过http发送到服务器。

Answer 1

我在搜索HTTP严格传输安全报头。http://hacks.mozilla.org/2010/08/firefox-4-http-strict-transport-security-force-https/

Answer 2

你绝对不能阻止任何人以明文发送数据。您拥有的唯一控件是您的服务器如何响应它，如果有的话。考虑到这一点，我建议您使用常规方法直接拒绝请求，或者简单地将请求重定向到HTTPS。现实地说，你没有别的办法。

Answer 3

您可以将webserver配置为在端口80上不监听。这样就不会有TCP握手，浏览器甚至不会发送他的第一个数据包。显然，重定向将不再起作用。