请问不做 https 强制跳转有何坏处？

没必要，因为你这个接口在相对上来说已经是强制跳转了，因为你在应用层那边让他强制 SSL 了，在你这边强制 SSL 就没必要了，一般为什么要强制 SSL ？ 因为一般访问没做限制，加不加 SSL 都可访问，所以需要强制跳转到 SSL，为了防止劫持的

没有

谢谢各位解答，这样我就放心了
@yfwl
@Ptu2sha

api 无所谓，如果是网页，会导致百度收录两个网址，一个 https 一个 http

一个早些年在某云服务商的 case，有一定的参考价值。

A 公司与 B 公司是竞争关系，A 公司新上线一个没设置 https 强制跳转的业务，B 公司请黑客频繁向 A 公司新业务的 http 服务发送带有敏感词汇的请求。不久后 A 公司业务中断……

谁中断的不重要，不加密的请求所引发 IDS/IPS 将不了解业务的中断的 case 应该不在少数吧！

@tin3w5 真到这一步，人家有 1W 种办法弄死你，唉