He creado un pequeño proyecto, donde escaneo más de 1000 sitios para la implementación de TLS, incluido
- ¿Existe un sitio https?
- ¿Redirige el sitio de http a https
- Otra información sobre el certificado
Sorprendentemente, cuando ejecuté el análisis por primera vez, muchos sitios NO estaban redirigiendo a los usuarios a https, a pesar de que existía un sitio https (¡qué desperdicio!), pero gradualmente la mayoría de ellos comenzó a redirigir a los usuarios.
Mi pregunta es sobre el método de redireccionamiento. Siento que la redirección a través del código de estado HTTP (es decir, el servidor responde con un código de estado 301, con la url del sitio https) es la mejor manera. También siento que los redireccionamientos de Javascript son un no-no, y deberían evitarse.
Pero recientemente descubrí que puedes redireccionar usando una meta-etiqueta HTML, esto es un redireccionamiento del lado del cliente, pero que no requiere javascript. Para mí, parece que está bien, especialmente si no tiene la capacidad de modificar las configuraciones en Apache / NGINX, etc.
Obviamente, esto es un poco menos eficiente que los códigos de estado HTTP (ya que el sitio necesita cargarse completamente antes de la redirección), pero parece una forma razonable de implementar un redireccionamiento, especialmente si el sitio http original se deja vacío.
¿Hay alguna consideración de seguridad en torno a las redirecciones de etiquetas meta de HTML? ¿Y debería empezar a marcar las redirecciones de metaetiquetas como 'buenas'?