無例外地要求使用 TLS 安全連線存取 API。與其費工夫探討或解釋何時該使用或不該使用 TLS,全部使用 TLS 就對了。
可以的話,拒絕任何非 TLS 需求,即不回應 HTTP 或 80 port 的需求,藉此避免不安全的資料交換。若環境不許可,則回應 403 Forbidden.
403 Forbidden
重導是不鼓勵的,因為這允許非正規的客戶端行為卻無任何好處。仰賴重導的客戶端使伺服器流量加倍,且因機敏資料已於第一次呼叫時曝光,導致 TLS 沒有意義。