Pourquoi HTTPURLConnection ne suit-il pas les redirections HTTP vers HTTPS ?

HTTPURLConnection ne suit pas la redirection HTTP vers HTTPS

Dans certains scénarios, les développeurs rencontrent un comportement inattendu où HTTPURLConnection de Java ne parvient pas à suivre une redirection HTTP vers une URL HTTPS.

Raison du Problème

La cause première de ce comportement réside dans la conception de HTTPURLConnection. Par défaut, les redirections ne sont suivies que si elles conservent le même protocole. Cela signifie qu'une redirection de HTTP vers HTTPS n'est pas automatiquement gérée par la classe.

Implications en matière de sécurité

Cette restriction est appliquée en raison de problèmes de sécurité. HTTPS, malgré sa ressemblance avec HTTP, est techniquement considéré comme un protocole distinct du point de vue HTTP. Suivre des redirections HTTPS sans l'approbation de l'utilisateur soulève des problèmes de sécurité, en particulier dans les scénarios où l'authentification client est automatiquement configurée pour HTTP mais pas HTTPS.

Solution

Malheureusement, il n'y a pas d'option pour désactiver cette vérification, et ainsi, HTTPURLConnection ne peut pas être amené à suivre un HTTP vers HTTPS redirect.

Solutions de contournement

Pour contourner cette limitation, les développeurs peuvent suivre manuellement la redirection en analysant l'en-tête Location dans la réponse HTTP et en lançant une nouvelle requête vers HTTPS. URL. Alternativement, ils peuvent utiliser des bibliothèques ou des frameworks prenant en charge les redirections HTTP et HTTPS.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!