保护以https

Question

而webcal订阅我出版了WebCal网址，这让我的web应用程序的用户订阅各种日历。我的理解是，识别webcal URL的应用程序默认为http，但我希望通过https保护文件传输。下面的Apache重写规则起作用，但这是一个合适的解决方案吗？

RewriteEngine On 
RewriteCond %{HTTPS} !=on 
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L] 

是的，该域中的所有内容都应通过https提供。我知道我可以用https替换webcal，但是我会失去webcal URI方案的好处（即简单订阅）。我在网上看到了一些关于webcals的提及，但是很少有信息，而Apple的iCal并不喜欢它。

我打算使用基本身份验证这些日历。首先通过http发起请求，然后重定向到https是否存在问题？

Answer 1

是的，有可能是一个问题：初始请求是要通过HTTP发送包括消息头等等。

这不一定，如果初始请求不包括证书，然后到HTTP基本身份验证的挑战响应在第二个请求，这将是对HTTPS URL只发送一个问题。 然而，有一个机会，一些客户端可以使用先发制人的认证，在这种情况下，凭证将在第一，纯HTTP请求被发送（有效地清除）。

正如我说的this answer，从HTTP重定向到HTTPS并不总是提供尽可能多的安全作为一个想。

（关于webcal://的网址，我觉得有些客户支持的HTTPS相当于webcals://方案。）