OkHttp 是否在重定向时发送授权和其他可能敏感的标头？

我正在通过 Apache NiFi 传递性地使用 OkHttp。我正在尝试确定如何在重定向时处理授权和其他敏感标头。NiFi 的 InvokeHTTP 处理器与 OkHttp 在重定向方面的唯一交互是在这里，它读取处理器属性并在 OkHttpClientBuilder 对象上设置选项：

// Set whether to follow redirects
okHttpClientBuilder.followRedirects(context.getProperty(PROP_FOLLOW_REDIRECTS).asBoolean());

快速搜索 OkHttp 的来源，我似乎无法确定处理重定向的位置，以验证Authorization从后续请求中删除的内容，正如我所期望的。出于安全原因，cURL最近刚刚采用了这种行为。

MMTTMM

浏览 180回答 1

1回答

慕仙森

它发生在RetryAndFollowUpInterceptor 中。// When redirecting across hosts, drop all authentication headers. This// is potentially annoying to the application layer since they have no// way to retain them.if (!sameConnection(userResponse, url)) {  requestBuilder.removeHeader("Authorization");}

0 0

随时随地看视频慕课网APP