HTTPURLConnection 不遵循从 HTTP 到 HTTPS 的重定向

我不明白为什么Java不遵循从HTTP到HTTPS URL的HTTP重定向。我使用以下代码获取页面 https://httpstat.us/HttpURLConnection

import java.net.URL;
import java.net.HttpURLConnection;
import java.io.InputStream;

public class Tester {

    public static void main(String argv[]) throws Exception{
        InputStream is = null;

        try {
            String httpUrl = "http://httpstat.us/301";
            URL resourceUrl = new URL(httpUrl);
            HttpURLConnection conn = (HttpURLConnection)resourceUrl.openConnection();
            conn.setConnectTimeout(15000);
            conn.setReadTimeout(15000);
            conn.connect();
            is = conn.getInputStream();
            System.out.println("Original URL: "+httpUrl);
            System.out.println("Connected to: "+conn.getURL());
            System.out.println("HTTP response code received: "+conn.getResponseCode());
            System.out.println("HTTP response message received: "+conn.getResponseMessage());
       } finally {
            if (is != null) is.close();
        }
    }
}

该程序的输出是:

Original URL: http://httpstat.us/301
Connected to: http://httpstat.us/301
HTTP response code received: 301
HTTP response message received: Moved Permanently

对 http://httpstat.us/301 的请求返回以下(缩短的)响应(这似乎是绝对正确的!

HTTP/1.1 301 Moved Permanently
Cache-Control: private
Content-Length: 21
Content-Type: text/plain; charset=utf-8
Location: https://httpstat.us

不幸的是,Java不遵循重定向!HttpURLConnection

请注意,如果您将原始URL更改为HTTPS(https://httpstat.us/301),Java按预期遵循重定向!?


答案 1

仅当重定向使用相同的协议时,才会进行重定向。(请参阅源代码中的 followRedirect() 方法。无法禁用此检查。

尽管我们知道它反映了HTTP,但从HTTP协议的角度来看,HTTPS只是一些其他完全不同的未知协议。未经用户批准,跟踪重定向是不安全的。

例如,假设应用程序设置为自动执行客户端身份验证。用户希望匿名上网,因为他使用的是HTTP。但是,如果他的客户端在没有询问的情况下遵循HTTPS,他的身份就会向服务器透露。


答案 2

根据设计,HttpURLConnection不会自动从HTTP重定向到HTTPS(反之亦然)。遵循重定向可能会产生严重的安全后果。SSL(因此是 HTTPS)创建一个对用户唯一的会话。此会话可以重用于多个请求。因此,服务器可以跟踪来自一个人的所有请求。这是一种弱身份形式,是可利用的。此外,SSL 握手可以要求提供客户端的证书。如果发送到服务器,则客户端的标识将提供给服务器。

正如 erickson 所指出的,假设应用程序设置为自动执行客户端身份验证。用户希望匿名上网,因为他使用的是HTTP。但是,如果他的客户端在没有询问的情况下遵循HTTPS,他的身份就会向服务器透露。

程序员必须采取额外的步骤来确保在从HTTP重定向到HTTPS之前不会发送凭据,客户端证书或SSL会话ID。默认设置是发送这些内容。如果重定向伤害了用户,请不要遵循重定向。这就是不支持自动重定向的原因。

了解了这一点,以下是重定向之后的代码。

  URL resourceUrl, base, next;
  Map<String, Integer> visited;
  HttpURLConnection conn;
  String location;
  int times;

  ...
  visited = new HashMap<>();

  while (true)
  {
     times = visited.compute(url, (key, count) -> count == null ? 1 : count + 1);

     if (times > 3)
        throw new IOException("Stuck in redirect loop");

     resourceUrl = new URL(url);
     conn        = (HttpURLConnection) resourceUrl.openConnection();

     conn.setConnectTimeout(15000);
     conn.setReadTimeout(15000);
     conn.setInstanceFollowRedirects(false);   // Make the logic below easier to detect redirections
     conn.setRequestProperty("User-Agent", "Mozilla/5.0...");

     switch (conn.getResponseCode())
     {
        case HttpURLConnection.HTTP_MOVED_PERM:
        case HttpURLConnection.HTTP_MOVED_TEMP:
           location = conn.getHeaderField("Location");
           location = URLDecoder.decode(location, "UTF-8");
           base     = new URL(url);               
           next     = new URL(base, location);  // Deal with relative URLs
           url      = next.toExternalForm();
           continue;
     }

     break;
  }

  is = conn.openStream();
  ...