Pourquoi HttpURLConnection de Java ne suit-il pas les redirections entre HTTP et HTTPS ?

Redirections HTTPURLConnection : restrictions de protocole

HttpURLConnection de Java fournit un moyen pratique d'envoyer des requêtes HTTP, mais lorsqu'il s'agit de redirections, il adhère à certaines règles. L'une de ces règles est que les redirections ne sont suivies que si l'URL de destination utilise le même protocole que la demande d'origine.

Dans l'exemple donné, l'URL d'origine est une URL HTTP ("http://httpstat.us/ 301") et l'URL de redirection est une URL HTTPS ("https://httpstat.us"). HttpURLConnection ne suit pas cette redirection car HTTPS est considéré comme un protocole différent de HTTP. Ce comportement est codé en dur dans la méthode followRedirect(), ce qui ne permet pas de désactiver cette vérification.

Cette restriction de protocole découle de problèmes de sécurité. Bien que HTTPS soit souvent considéré comme une alternative sécurisée au HTTP, du point de vue du protocole HTTP, HTTPS est traité comme un protocole distinct et peu familier. Autoriser les redirections non vérifiées vers HTTPS introduirait des risques potentiels. Par exemple, si l'authentification automatique du client est configurée et que la requête initiale est basée sur HTTP, l'identité du client pourrait être révélée par inadvertance au serveur si la redirection vers HTTPS est aveuglément suivie.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!