Незашифрованный трафик

Передача данных по HTTP без TLS позволяет перехватывать пароли и сессии в открытом виде.

СигнатураCleartext transport

Передача данных по незашифрованному HTTP позволяет любому в сети (Wi-Fi, провайдер) читать и подменять трафик: пароли, куки сессии и личные данные идут открытым текстом.

Как защититься: используйте HTTPS на всём сайте, перенаправляйте HTTP на HTTPS, включите заголовок HSTS, чтобы браузер всегда использовал шифрование, не отправляйте секреты в URL.

# Принудительный редирект на HTTPS
def before_request(request):
    if request.scheme == "http":
        url = request.url.replace("http://", "https://", 1)
        return redirect(url, code=301)

← Все записи: Веб-уязвимости и защита