我正在设计一个RESTful API,其中一些调用是通过HTTP公开的,而一些需要API密钥和HTTPS加密。 我在考虑如果私有资源接收到HTTP请求时应该发送哪个响应代码。目前唯一显眼的是412 - 先决条件失败,但标准指出先决条件由请求者而不是服务器强加。
是否有适当的响应代码来处理这种情况,还是我只需要采用400?
5个回答
30
我不知道这是否被HTTP客户端广泛接受,但严格按照RFC规范,服务器应该做出如下响应:
HTTP/1.1 426 Upgrade Required
Upgrade: TLS/1.0, HTTP/1.1
Connection: Upgrade
- MicE
6
9
强制HTTP客户端使用HTTPS的最安全方法是HTTP严格传输安全。
以前常见的建议是断开连接,但这种做法已被OWASP网站所支持的HSTS取代(参见)。
- Brian Clozel
4
6
- HSTS草案已经被移交至IETF处理。
- 阅读它并不能给出对问答者问题的好回答。
2HSTS强制整个站点使用HTTPS。上述海报希望某些资源可通过HTTP访问,而其他资源仅限于HTTPS。因此,无法使用HSTS,因为它适用于所有资源。 - Fred
2这并没有回答楼主的问题。他问的是当客户端通过http连接时该怎么办,而不是HSTS头文件,这只有在用户已经通过https连接时才会生效。 - BadZen
您可以在浏览器中预加载HSTS,以防止任何HTTP调用,https://hstspreload.org/ - Eric
7
适当的错误代码应该类似于403.4 - 要求 SSL。
虽然在HTTP 1.1 的 RFC中没有明确记录这种行为,但这种行为符合其中概述的要求:
服务器理解了请求,但拒绝满足它。授权无法帮助,不应重复请求。如果请求方法不是 HEAD,并且服务器希望公开为什么未能满足请求,它应该在实体中描述拒绝的原因。如果服务器不希望向客户端提供此信息,则可以使用状态码404(未找到)代替。
在某些情况下,添加自己的子代码(如 SSL 示例)可能会有所帮助,但由于这个子代码对第三方来说没有意义,我建议不要这样做。
虽然在HTTP 1.1 的 RFC中没有明确记录这种行为,但这种行为符合其中概述的要求:
服务器理解了请求,但拒绝满足它。授权无法帮助,不应重复请求。如果请求方法不是 HEAD,并且服务器希望公开为什么未能满足请求,它应该在实体中描述拒绝的原因。如果服务器不希望向客户端提供此信息,则可以使用状态码404(未找到)代替。
在某些情况下,添加自己的子代码(如 SSL 示例)可能会有所帮助,但由于这个子代码对第三方来说没有意义,我建议不要这样做。
因此,您最终的错误消息应该像“403-私有资源”这样。请注意,即使在缺少API密钥的情况下,“401-未经授权”也不应该被使用,除非您的API密钥实际上可以通过WWW-Authenticate头字段传输。
- mdb
3
4请注意,IIS状态码是虚假的。HTTP状态码只由数字组成(恰好为3个)。请参阅http://www.w3.org/Protocols/rfc2616/rfc2616-sec6.html#sec6.1.1。还要注意,403的原因短语为“Forbidden”,且不可修改。任何进一步的解释都应该写在响应正文中。 - Jan Algermissen
1是的,虽然子代码很吸引人,但我无法接受它的非标准化特性。 - gtd
4我同意其他评论者的观点,不应该使用子代码,但可以选择使用普通的403状态码。例如,Twitter在其API中使用403状态码。请参见https://dev.twitter.com/docs/security/using-ssl。 - Chris H.
7
返回一个带有“HTTPS Required”原因短语的403似乎是一个实用的选项,这也是我使用的选项。
参见https://en.wikipedia.org/wiki/HTTP_403 重定向REST API不是一个好主意,特别是当您可能不知道谁或什么正在使用您的服务时。
参见https://en.wikipedia.org/wiki/HTTP_403 重定向REST API不是一个好主意,特别是当您可能不知道谁或什么正在使用您的服务时。
- NER1808
0
只需发送重定向到相应的https: URI。
更新
这是一个错误的答案 - 请参见下面的评论
- Jan Algermissen
3
2存在安全风险。来自OWASP SSL最佳实践:“攻击者执行中间人攻击可能会拦截HTTP重定向响应并将用户发送到替代页面”。 - Sripathi Krishnan
2这并不会阻止用户仍然使用http url,事实上,对于大多数http客户端,他们甚至看不到http重定向发生了。将问题搁置不谈可能不是您想要采取的方法。 - Agoston Horvath
2是的,抱歉。你们是正确的。发送重定向是错误的做法。感谢指出这一点。 - Jan Algermissen
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 28 没有必填字段的请求应该使用哪个适当的HTTP响应代码?
- 12 PayPal.ConnectionException: 无效的HTTP响应:请求已中止:无法创建SSL/TLS安全通道。
- 5 没有DN的证书请求消息,SSL/TLS客户端的适当响应是什么?
- 4 请求实体中出现了一个错误链接,应该采取什么适当的响应措施?
- 3 HTTP请求是否需要响应?
- 5 为什么需要TLS/SSL?
- 4 一个DELETE请求依赖于其他内容,应该返回哪个适当的HTTP响应码?
- 9 一个OPTION请求应该使用什么HTTP响应码?
- 8 什么是针对favicon.ico的HTTP请求的最小适当响应?
- 37 请求头中指定的Content-Encoding无效,应该使用什么适当的HTTP状态码?
https是在 RFC 2818 中规定的(基于 TLS 的 HTTP)。RFC 2817 几乎不会被使用。请注意,IETF 规范将 TLS 称为“TLS”,因为它是一个 IETF 标准(而 SSL 不是):你可以很容易地阅读所有这些规范并以“SSL”为标准(除了确实指向早期版本)。RFC 2817 并不是升级到 TLS(1.x)从 SSLv3,它是关于在同一连接上从纯文本 HTTP 升级到 SSL/TLS 的。 - Bruno