localhorst: neues Problem: Cross-Origin

Beitrag lesen

problematische Seite

Hallo localhorst,

müsste das nicht so lauten?
RewriteCond %{HTTP_HOST} !=^remso\.eu
RewriteRule (.*) https://remso.eu/$1 [QSA, R=301,L]

Du hast QSA (→ Query String Append?!) ergänzt? Ja, könnte sinnvoll sein.

... und das Caretzeichen, sowie den Backslash vor dem Dot. QSA war nur nützliches Beiwerk, weil der Qierystring sonst verloren geht.

Das gibt dann aber immer noch eine Definitionslücke für den Fall, dass HTTPS am Server ausgefallen ist.

Nein, ich denke nicht. In diesem Randfall würde der Server auf HTTPS umleiten und nichts geht mehr. Ziel erreicht. Gleiches dank HSTS und HSTS preloading.

Im Prinzip müsste man für den Fall, dass nur HTTP (ohne TLS) gesprochen werden kann, alle Module, die Userdaten und/oder Logindaten transportieren, abschalten.

Da diese Umleitung bereits in der Konfiguration des Webservers läuft und somit HTTP nur zum Umleiten auf HTTPS benutzt wird, ist alles gut. Es gibt sogar mittlerweile Webhoster und Webserver, denen man das Umleiten nicht mehr händisch verklickern muss.

Das ist sclechte UX. Der User sollte eine entsprechende Usermessage bekommen, die ihm eventuell hilft, Abhilfe zu schaffen. Es könnte auch Port 443 beim Clientnetz gesperrt sein. Habe ich noch nie ausprobiert, was der Browser dann macht.

Gruß
localhorst