http->https 的 301 跳转请求也是会暴露 url 的吧

https 本身肯定是安全的，除了域名(不考虑 esni)和端口之外，url 后面的部分是不可见的。

但是现在网站基本上都是 http+https 同步支持的，http 依靠 301 跳转到 https 来支持 https 访问，也就是会先发起一个 http 请求，然后服务器返回一个 301 代码,并在返回的内容中送回要跳转过去的 https 地址(基本上没意外的就是加了个 s)。

当然一般的配置中，这个 301 跳转本身并不判断这个 url 是否存在，你任意提交 http 地址人家只是加个 s 返回给你而已，并不能通过这个 301 返回信息判断出某个 url 是否存在或有效。

之所以提这个问题，是考虑一些特殊的应用(例如机场订阅、或者一些私人使用的资源)的存在，如果这类地址的编码有一定的规律或者特征可以匹配，其实 http 请求也是挺危险(例如某个域名下有大量匹配某个特征的 url 请求，然后都返回了 301)，感觉这种情况下还是要彻底关掉 80 端口，让 tcp 握手都无法完成才比较安全。