安全准则
请务必告知用户可能存在的安全问题。
通知用户Security-Related事件
始终通知用户安全性的任何更改,无论是与安全相关的错误(例如证书失败)还是基础协议的安全性更改(例如从 HTTPS 站点更改为 HTTP 站点)。
通知用户Security-Related错误
当应用程序收到可能指示存在安全问题的错误消息时, InternetErrorDlg 函数会提供一个标准的、熟悉的界面来通知用户在大多数情况下。
属于此类别的错误包括:
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
如未通知用户此类错误,可能会使用户面临各种安全漏洞,包括欺骗攻击或非自愿信息泄露。
连接安全性更改时通知用户
当连接的安全性发生更改(例如,从 HTTPS 更改为 HTTP)时,始终通知用户。 否则,除非用户明确选择不收到此类更改的通知,否则您隐瞒了非自愿信息泄露的风险。
报告此类连接安全性更改的函数包括 InternetStatusCallback 回调函数和 InternetConfirmZoneCrossing 函数。
注意
WinINet 不支持服务器实现。 此外,不应从服务使用它。 对于服务器实现或服务,请使用 Microsoft Windows HTTP Services (WinHTTP) 。