https 本身肯定是安全的,除了域名(不考虑 esni)和端口之外,url 后面的部分是不可见的。
但是现在网站基本上都是 http+https 同步支持的,http 依靠 301 跳转到 https 来支持 https 访问,也就是会先发起一个 http 请求,然后服务器返回一个 301 代码,并在返回的内容中送回要跳转过去的 https 地址(基本上没意外的就是加了个 s)。
当然一般的配置中,这个 301 跳转本身并不判断这个 url 是否存在,你任意提交 http 地址人家只是加个 s 返回给你而已,并不能通过这个 301 返回信息判断出某个 url 是否存在或有效。
之所以提这个问题,是考虑一些特殊的应用(例如机场订阅、或者一些私人使用的资源)的存在,如果这类地址的编码有一定的规律或者特征可以匹配,其实 http 请求也是挺危险(例如某个域名下有大量匹配某个特征的 url 请求,然后都返回了 301),感觉这种情况下还是要彻底关掉 80 端口,让 tcp 握手都无法完成才比较安全。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.