对于不安全的 POST 不可接受返回什么响应代码？

发布于 2024-12-26 01:34:11 字数 182 浏览 0 评论 0原文

如果有人通过 http（即不是 https）访问我的服务器，那么我将 GET 请求重定向到 https 版本。

但我不知道如何处理 POST 和 PUT，因为我无法重定向它们（我相信浏览器在重定向时执行 GET 操作）。

我应该返回一个错误代码。 我应该返回什么 HTTP 错误代码？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

尝蛊 2025-01-02 01:34:11

通常，您会返回 403 - Forbidden。对此的一般描述是“服务器理解该请求，但拒绝授权”。这适合你的情况。

回复收藏 0 原文

暮凉 2025-01-02 01:34:11

从技术上讲，正确的答案是使用 403.4，但子状态是它只是 IIS 的功能，而 nginx 不支持它。

所以我更愿意返回 418“我是一个茶壶”或 451“出于法律原因不可用”（因为不再使用纯文本 http 是不合法的，哈哈，只是开玩笑:)），这种状态非常奇特，应该触发客户弄清楚发生了什么。

nginx 可以选择返回类似文本的状态，

# cat /etc/nginx/conf.d/default.conf
server {
    listen       80 default_server;


    location / {
        add_header Content-Type text/plain;
        return 418 "TLS REQUIRED";
    }
}

# curl -v  http://localhost/
* About to connect() to localhost port 80 (#0)
*   Trying ::1...
* Connection refused
*   Trying 127.0.0.1...
* Connected to localhost (127.0.0.1) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: localhost
> Accept: */*
>
< HTTP/1.1 418
< Server: nginx/1.16.1
< Date: Sat, 15 Feb 2020 07:13:20 GMT
< Content-Type: application/octet-stream
< Content-Length: 12
< Connection: keep-alive
<
* Connection #0 to host localhost left intact
TLS REQUIRED

但是像 Chrome 或 Firefox 这样的浏览器无法正确处理这个问题，Chrome 会说 ERR_INVALID_RESPONSE，而 Firefox 会说“找不到文件”，这种行为并不能解决我们的目标。

所以我只返回状态 418。

Technically right answer is to use 403.4 but substatuses it's a IIS only feature and nginx doesn't support it.

So I've prefer to return 418 "I'm a teapot" or 451 "Unavailable For Legal Reasons" (because it's not legal to use plain-text http anymore, haha, just joking :)), this statuses quite exotic and should trigger client to figure out what going on.

nginx has an option to return status with text like

# cat /etc/nginx/conf.d/default.conf
server {
    listen       80 default_server;


    location / {
        add_header Content-Type text/plain;
        return 418 "TLS REQUIRED";
    }
}

# curl -v  http://localhost/
* About to connect() to localhost port 80 (#0)
*   Trying ::1...
* Connection refused
*   Trying 127.0.0.1...
* Connected to localhost (127.0.0.1) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: localhost
> Accept: */*
>
< HTTP/1.1 418
< Server: nginx/1.16.1
< Date: Sat, 15 Feb 2020 07:13:20 GMT
< Content-Type: application/octet-stream
< Content-Length: 12
< Connection: keep-alive
<
* Connection #0 to host localhost left intact
TLS REQUIRED

But browsers like Chrome or Firefox can't handle this right, Chrome says ERR_INVALID_RESPONSE and Firefox says "File not found" and this behavior doesn't solve our goal.

So I've stay with just returning status 418.

回复收藏 0 原文