Ho creato un piccolo progetto, in cui eseguo la scansione di oltre 1000 siti per l'implementazione di TLS, tra cui
- Esiste un sito https
- Il sito reindirizza da http a https
- Varie altre informazioni sul certificato
Sorprendentemente, quando ho eseguito la scansione per la prima volta, molti siti NON stavano reindirizzando gli utenti a https, anche se esisteva un sito https (che spreco!), ma gradualmente la maggior parte di essi ha iniziato a reindirizzare gli utenti.
La mia domanda è sul metodo di reindirizzamento. Sento il reindirizzamento tramite il codice di stato HTTP (ad esempio, il server risponde con un codice di stato 301, con l'url del sito https) è il modo migliore. Ritengo inoltre che i reindirizzamenti Javascript siano un no-no e dovrebbero essere evitati.
Ma di recente ho scoperto che sei in grado di reindirizzare usando un meta-tag HTML, questo è un reindirizzamento lato client, ma che non richiede javascript. Per me sembra una cosa OK da fare, specialmente se non hai la possibilità di modificare le configurazioni su Apache / NGINX ecc.
Ovviamente questo è un po 'meno efficiente dei codici di stato HTTP (poiché il sito deve essere caricato completamente prima del reindirizzamento), ma sembra un modo ragionevole per implementare un reindirizzamento, specialmente se il sito http originale è vuoto.
Esistono considerazioni di sicurezza relative ai reindirizzamenti dei meta tag HTML? E dovrei iniziare a contrassegnare i reindirizzamenti meta-tag come "buoni"?