背景与价值TLS 0-RTT允许在握手前发送数据,但存在重放风险。对状态变更统一拒绝可降低风险。统一规范默认禁用Early Data;仅在幂等读场景考虑启用。门禁策略:携带Early Data的状态变更请求拒绝。审计:记录命中Early Data的请求。核心实现门禁type Req = { method: string; headers: Record<string, string | undefined> } type Res = { status: (n: number) => Res; end: (b?: string) => void } function isStateChanging(method: string): boolean { return ['post','put','patch','delete'].includes(method.toLowerCase()) } function earlyData(req: Req): boolean { return (req.headers['early-data'] || '').toLowerCase() === '1' } function gate(req: Req, res: Res): boolean { if (earlyData(req) && isStateChanging(req.method)) { res.status(425).end('too_early'); return false } return true } 落地建议默认禁用Early Data;对于读接口可评估启用但进行速率与审计治理。验证清单是否对Early Data状态变更返回425;是否统一记录审计与拒绝策略。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复