アカウント名:
パスワード:
HSTSとリダイレクトを併用でステータスコードは301。なおかつ、htmlを返していたURLについては、レスポンス本文にhtmlでmetaタグでのリフレッシュとjavascriptでのページ移動をhead内に書いておき、さらにbody内にも新URLへのリンクを記載。やりすぎ?
なぜ Moved Temporarily? 将来戻す気はないんだろう?
バカだから。
User-agentを検出して、SSL非対応なら「別のブラウザを使ってください」とアナウンスしては。Mozilla黎明期のような、太古のやり方が復活。
利用者側の利便性を無視して良いという条件付きで、
HSTS & Preload登録 & Post80ダウン
これだと、そのサイトにhttp:// での接続が不可能になるので、sslstrip等の中間者攻撃の対策が可能。
1回でもhttp:// の通信があると、その時、間に入られると、レスポンスの改ざんが可能となって、それ以降どこにリンクしていくかすべて怪しくなってしまう。
301を返すと実装によっては検索結果やブックマークがsorry.htmlに変わってしまってしまう可能性が
リダイレクトで308 Permanent Redirect派もいるはず。本当にいるの?と思っていたけど、Nginx ingressがHTTPSリダイレクトのデフォルト設定にしているので、世の中探せば使われているところを発見できるに違いないと今は思っている。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
結局どれがベストなんです? (スコア:0)
Re:結局どれがベストなんです? (スコア:1)
HSTSとリダイレクトを併用でステータスコードは301。
なおかつ、htmlを返していたURLについては、レスポンス本文にhtmlでmetaタグでのリフレッシュとjavascriptでのページ移動をhead内に書いておき、さらにbody内にも新URLへのリンクを記載。
やりすぎ?
Re: (スコア:0)
なぜ Moved Temporarily? 将来戻す気はないんだろう?
Re: (スコア:0)
バカだから。
Re: (スコア:0)
User-agentを検出して、SSL非対応なら「別のブラウザを使ってください」とアナウンスしては。
Mozilla黎明期のような、太古のやり方が復活。
Re: (スコア:0)
利用者側の利便性を無視して良いという条件付きで、
HSTS & Preload登録 & Post80ダウン
これだと、そのサイトにhttp:// での接続が不可能になるので、
sslstrip等の中間者攻撃の対策が可能。
1回でもhttp:// の通信があると、その時、間に入られると、
レスポンスの改ざんが可能となって、それ以降どこにリンクしていくかすべて怪しくなってしまう。
Re: (スコア:0)
301を返すと実装によっては検索結果やブックマークがsorry.htmlに変わってしまってしまう可能性が
Re: (スコア:0)
リダイレクトで308 Permanent Redirect派もいるはず。本当にいるの?と思っていたけど、Nginx ingressがHTTPSリダイレクトのデフォルト設定にしているので、世の中探せば使われているところを発見できるに違いないと今は思っている。