如果使用者通過 HTTP 訪問頁面，則強制瀏覽器通過 HTTPS 發送第一個請求

前段時間，我發現了一種阻止瀏覽器與伺服器建立任何不安全連接的可能性。我已經將我的使用者從 HTTP 重定向到 HTTPS，但是如果使用者首先將包含敏感數據的請求發送到 http 並重定向到 HTTPS，則數據已經通過 HTTP 發送到伺服器。

我正在尋找 HTTP Strict-Transport-Security 標頭。 http://hacks.mozilla.org/2010/08/firefox-4-http-strict-transport-security-force-https/

您絕對無法阻止任何人以明文形式發送數據。您擁有的唯一控制是您的伺服器如何響應它，如果有的話。考慮到這一點，我建議您使用正常方式直接拒絕請求或簡單地將其重定向到 HTTPS。實際上，您無能為力。

引用自：https://serverfault.com/questions/387258