HTTPURLConnection 不遵循从 HTTP 到 HTTPS 的重定向

redirect https java http-redirect httpurlconnection

2022-08-31 09:22:04

我不明白为什么Java不遵循从HTTP到HTTPS URL的HTTP重定向。我使用以下代码获取页面 https://httpstat.us/：HttpURLConnection

import java.net.URL;
import java.net.HttpURLConnection;
import java.io.InputStream;

public class Tester {

    public static void main(String argv[]) throws Exception{
        InputStream is = null;

        try {
            String httpUrl = "http://httpstat.us/301";
            URL resourceUrl = new URL(httpUrl);
            HttpURLConnection conn = (HttpURLConnection)resourceUrl.openConnection();
            conn.setConnectTimeout(15000);
            conn.setReadTimeout(15000);
            conn.connect();
            is = conn.getInputStream();
            System.out.println("Original URL: "+httpUrl);
            System.out.println("Connected to: "+conn.getURL());
            System.out.println("HTTP response code received: "+conn.getResponseCode());
            System.out.println("HTTP response message received: "+conn.getResponseMessage());
       } finally {
            if (is != null) is.close();
        }
    }
}

该程序的输出是：

Original URL: http://httpstat.us/301
Connected to: http://httpstat.us/301
HTTP response code received: 301
HTTP response message received: Moved Permanently

对 http://httpstat.us/301 的请求返回以下（缩短的）响应（这似乎是绝对正确的！

HTTP/1.1 301 Moved Permanently
Cache-Control: private
Content-Length: 21
Content-Type: text/plain; charset=utf-8
Location: https://httpstat.us

不幸的是，Java不遵循重定向！HttpURLConnection

请注意，如果您将原始URL更改为HTTPS（https://httpstat.us/301），Java将按预期遵循重定向！？

答案 1

仅当重定向使用相同的协议时，才会进行重定向。（请参阅源代码中的 followRedirect（） 方法。无法禁用此检查。

尽管我们知道它反映了HTTP，但从HTTP协议的角度来看，HTTPS只是一些其他完全不同的未知协议。未经用户批准，跟踪重定向是不安全的。

例如，假设应用程序设置为自动执行客户端身份验证。用户希望匿名上网，因为他使用的是HTTP。但是，如果他的客户端在没有询问的情况下遵循HTTPS，他的身份就会向服务器透露。

答案 2

根据设计，HttpURLConnection不会自动从HTTP重定向到HTTPS（反之亦然）。遵循重定向可能会产生严重的安全后果。SSL（因此是 HTTPS）创建一个对用户唯一的会话。此会话可以重用于多个请求。因此，服务器可以跟踪来自一个人的所有请求。这是一种弱身份形式，是可利用的。此外，SSL 握手可以要求提供客户端的证书。如果发送到服务器，则客户端的标识将提供给服务器。

正如 erickson 所指出的，假设应用程序设置为自动执行客户端身份验证。用户希望匿名上网，因为他使用的是HTTP。但是，如果他的客户端在没有询问的情况下遵循HTTPS，他的身份就会向服务器透露。

程序员必须采取额外的步骤来确保在从HTTP重定向到HTTPS之前不会发送凭据，客户端证书或SSL会话ID。默认设置是发送这些内容。如果重定向伤害了用户，请不要遵循重定向。这就是不支持自动重定向的原因。

了解了这一点，以下是重定向之后的代码。

  URL resourceUrl, base, next;
  Map<String, Integer> visited;
  HttpURLConnection conn;
  String location;
  int times;

  ...
  visited = new HashMap<>();

  while (true)
  {
     times = visited.compute(url, (key, count) -> count == null ? 1 : count + 1);

     if (times > 3)
        throw new IOException("Stuck in redirect loop");

     resourceUrl = new URL(url);
     conn        = (HttpURLConnection) resourceUrl.openConnection();

     conn.setConnectTimeout(15000);
     conn.setReadTimeout(15000);
     conn.setInstanceFollowRedirects(false);   // Make the logic below easier to detect redirections
     conn.setRequestProperty("User-Agent", "Mozilla/5.0...");

     switch (conn.getResponseCode())
     {
        case HttpURLConnection.HTTP_MOVED_PERM:
        case HttpURLConnection.HTTP_MOVED_TEMP:
           location = conn.getHeaderField("Location");
           location = URLDecoder.decode(location, "UTF-8");
           base     = new URL(url);               
           next     = new URL(base, location);  // Deal with relative URLs
           url      = next.toExternalForm();
           continue;
     }

     break;
  }

  is = conn.openStream();
  ...