Как всегда использовать https?

Question

[Amir228]

По дефолту браузеры делают юзают http и потом если сатй перенаправит на https URL или будет юзать HSTS то протокол поменяеться на https. Так вот, все же поменяеться он лишь после первого запроса который не будет безопасным. Как тогда и его сделать безопасным можно?

Answer 1

[Василий Банников]

Со стороны сервера можно, например, вообще не слушать порт для http - тогда будет connection refused ещё до попытки отправить запрос на сервер.

Если со стороны клиента - можно поставить расширение типа https only

Answer 2

[Sergey В.]

Очевидно, что при первом (небезопасном) запросе, сервер ещё ничего о нём не знает. Следовательно не может повлять на его безопасность. Вот когда уже получит - выполнит редирект на https. Следовательно исходя из постановки задачи - ответственным за безопасность первого запроса должен быть клиент (браузер).

Answer 3

[Сергей Соловьев]

Редирект выполняется с помощью кодов HTTP. Например, 301.
Можно заставить свой веб-сервер (те же самые nginx/apache) всегда редиректить на HTTPS.
Либо, клиент может заставить браузер по умолчанию слать запросы в https

Comments

[Василий Банников]

Тела ответа там нет, поэтому ничего страшного не случится.

Условный злоумышленник посередине может узнать к какому сайту и ресурсу на сайте ты обращался.

[Сергей Соловьев]

Василий Банников, справедливо, поправил