Tengo un sitio web utilizando HTTPS. Lo he configurado para que HTTP sea redirigido a HTTPS.
También tengo una función donde el sitio exporta un archivo para que el usuario lo descargue.
¿Se transfiere ese archivo usando HTTPS?
Editado para agregar una captura de pantalla de la consola de red Chrome para mostrar lo que veo.
Los sitios web no pueden exportar archivos directamente a un navegador web; el navegador primero debe realizar una solicitud y luego el servidor responde a la solicitud enviando algo de contenido. Así es como funciona (casi) todo en la web, ya sea que el contenido que se sirve sea en páginas web (HTML, CSS, etc.) u otro contenido (como un archivo que el servidor creó para usted).
Todo esto importa porque, para cada solicitud, es BROWSER quien decide si la solicitud se envía a través de HTTP o HTTPS. El servidor no tiene ninguna opinión real en esto. El servidor puede decidir que lo único que hará para las solicitudes HTTP es enviar una respuesta que equivale a "intentarlo de nuevo, pero a través de HTTPS". HTTP se redirige a HTTPS ", pero si la solicitud se realizó a través de HTTP, la respuesta volverá de la misma manera.
Si quieres probar, eso es bastante fácil. Abra las herramientas de desarrollo de un navegador web (para la mayoría de los navegadores, puede hacerlo haciendo clic con el botón derecho en cualquier página y seleccionando "Inspeccionar") y vaya a la pestaña Red. Vaya a su sitio y descargue el archivo exportado. Busque en los datos registrados en las herramientas de desarrollo (advertencia: puede haber una gran cantidad de ellos) y vea si la solicitud que hizo que el servidor enviara el archivo fue HTTP o HTTPS. Cualquiera que sea el navegador utilizado, eso es lo que usó el servidor.
En un sitio web bien configurado, espero que las descargas de archivos, así como las páginas, se sirvan a través de HTTPS, al menos si las descargas de archivos están alojadas en el mismo dominio que el resto del sitio. Sin embargo, es muy posible que el sitio pueda configurarse de manera diferente.
Si el usuario ha iniciado sesión en el sitio, el navegador enviará el valor de la cookie de ID de sesión al sitio con cada solicitud, incluidas las de los archivos de descarga. Si alguien puede espiar y obtener esa ID de sesión, puede secuestrar la sesión del usuario y realizar cualquier acción que permita el sitio web mientras se hace pasar por ella.
captura de pantalla de la consola de red Chrome para mostrar lo que veo.
Sí, eso se descarga a través de HTTPS en tu captura de pantalla.
Si el enlace al archivo comienza con https:// , o si la página en la que se encuentra el enlace ya está cargada a través de HTTPS pero el enlace no comienza con http:// , entonces se espera que se cargue a través de HTTPS.
Por supuesto, esto supone que no hay trucos de JavaScript en el código personalizado para volver a escribir los enlaces. Y, por supuesto, se supone que el servidor no responde con una redirección 30x a HTTP simple. Si no, eres bueno.
Lea otras preguntas en las etiquetas tls