Cloudflare 全面禁止未加密流量访问其 API 端点
我要评论Cloudflare宣布已关闭所有HTTP连接,全面现在仅接受通过HTTPS加密的禁止安全连接访问api.cloudflare.com。这一举措旨在防止未加密的未加问API请求被发送,即使是密流意外发送,从而消除敏感信息在明文流量中暴露的量访风险。
Cloudflare在周四的端点公告中表示:“从今天起,任何未加密的全面api.cloudflare.com连接都将被完全拒绝。”该公司进一步解释道:“开发者不应再期望HTTP连接会收到403 Forbidden响应,禁止因为我们将通过完全关闭HTTP接口来阻止底层连接的未加问建立。只有安全的密流HTTPS连接才被允许建立。”
Cloudflare API帮助开发者和系统管理员自动化和管理Cloudflare服务,量访包括DNS记录管理、端点防火墙配置、全面DDoS防护、禁止缓存、未加问SSL设置、基础设施部署、访问分析数据以及管理零信任访问和安全策略。亿华云
未加密连接的风险此前,Cloudflare系统允许通过HTTP(未加密)和HTTPS(加密)访问API,要么重定向HTTP请求,要么直接拒绝。然而,正如公司所解释的,即使是被拒绝的HTTP请求也可能在服务器响应之前泄露敏感数据,如API密钥或令牌。
被阻止请求中泄露的机密信息来源:Cloudflare
这种情况在公共或共享Wi-Fi网络中更为危险,因为中间人攻击更容易实施。通过完全禁用HTTP端口访问API,Cloudflare在传输层阻止了明文连接,从一开始就强制使用HTTPS。
影响与后续措施这一变更立即影响了所有使用HTTP访问Cloudflare API服务的用户。依赖该协议的脚本、机器人和工具将无法正常工作。同样,不支持HTTPS或未默认使用HTTPS的WordPress模板遗留系统、自动化客户端、物联网设备和低级客户端也会受到影响。
对于在Cloudflare上托管网站的客户,公司计划在今年年底前发布一个免费选项,以安全的方式禁用HTTP流量。Cloudflare的数据显示,通过其系统的互联网流量中,仍有约2.4%是通过不安全的HTTP协议传输的。如果考虑到自动化流量,HTTP的比例则跃升至近17%。
客户可以在仪表板的“Analytics & Logs > Traffic Served Over SSL”下跟踪HTTP与HTTPS流量,以评估这一变更对其环境的影响。
相关文章
三星S6Edge925a(一起探索这款引人注目的智能手机吧!)
摘要:作为三星旗下的一款旗舰手机,S6Edge925a了高性能和精美外观于一身。它采用了曲面屏设计,给用户带来全新的视觉体验。同时,该手机还搭载了强大的处理器和优秀的摄像头,为用户提供流...2025-11-05
FBI 警告:使用 AI 发动网络攻击的黑客数量正在以惊人的速度增加
7 月 31 日消息,据 pcmag 报道,在本周五与记者的电话会议上,美国联邦调查局 FBI 就人工智能程序辅助的网络攻击泛滥发出了严厉的提醒和警告。据 FBI 称,使用 AI 技术进行网络钓鱼攻击2025-11-05- 复制#查看read_only参数 mysql>showglobalvariableslike%read_only%; +---------------2025-11-05
苹果公司发布了安全更新,修复针对 iPhone、Mac 和 iPad 的零日漏洞。苹果公司在一份公告中描述了一个 WebKit 漏洞,该漏洞被标记为 CVE-2023-37450,已在本月初的新一轮快2025-11-05- 复制192.168.169.137(haproxy)———负载均衡———-(192.168.169.117;192.168.169.118) 安装配置HAproxy2025-11-05
最新评论