Http

使用 HTTP 狀態 308 永久重定向是否安全?

  • March 10, 2022

在伺服器響應中使用 HTTP 狀態程式碼308 永久重定向建議)是否安全?301 Moved Permanently 的問題在於它僅適用於 GET 請求(公平地說:POST 將轉換為 GET,這不是一個選項)。

狀態程式碼在“RFC 時間”中非常新,那麼您有什麼建議?

如果瀏覽器不知道 308,它會怎麼做?它會找到位置並執行302嗎?

雖然 308 現在是標準(https://www.rfc-editor.org/rfc/rfc7538),但目前並不安全

$$ Edit $$(截至 2019 年 4 月 3 日),尤其是對於桌面應用程序,但在某些特定地區(例如印度)或針對平板電腦和移動設備的應用程序可能幾乎是安全的。 缺乏安全性是因為 Windows 7 和 8.1 上的 IE 11 不支持它。在 IE 11 中,該站點似乎掛起。幸運的是,Windows 10 附帶的 IE 確實支持它,所以這只是等到 Windows 7 的普遍流行(Win 7 在全球使用統計中剛剛被 Win 10 超越,Win 8 顯著不如兩者受歡迎)

$$ Edit $$或者您的公司決定不再支持它(您可以從 2020 年 1 月 14 日起,當Windows 7 失去甚至長期支持時提出非常有力的理由),從 2022 年 6 月 15 日起更是如此,屆時 IE 本身將不再支持支持(請參閱下載頁面)。 所有其他現代瀏覽器都支持它(Chrome、Firefox、Safari、Edge、Opera)。

$$ Edit $$2019 年 3 月的使用統計數據可幫助您做出決定:

  • 36.52% 的桌面使用者仍在使用 Windows 7
  • 9.83% 的桌面使用者使用 IE;由於 Win10 對 Edge 的推動如此之大,我假設這些使用者中的大多數都在使用 Win 7。

$$ Edit $$2022 年 3 月的使用情況統計:

  • 24.79% 的桌面使用者仍在使用 Windows 7
  • 4.84% 的桌面使用者使用 IE;由於 Win10 大力推動 Edge,我假設這些使用者中的大多數都使用 Win 7。參考netmarketshare

因此,截至本次編輯 (2022-03-11),使用 308 的決定將影響不到 5% 的桌面使用者。如果您的應用程序更適合平板電腦/移動設備,則此值將顯著降低。同樣,如果您的應用專門針對印度市場。

您可以在此處測試您的瀏覽器是否支持 308 重定向:https ://webdbg.com/test/308/

引用自:https://serverfault.com/questions/609872