安全性指導方針

請務必讓使用者知道可能的安全性問題。

一律通知使用者安全性的任何變更，無論是安全性相關錯誤，例如憑證失敗，還是基礎通訊協定安全性的變更，例如從 HTTPS 網站變更為 HTTP 網站。

當應用程式收到可能表示安全性問題的錯誤訊息時，InternetErrorDlg 函式會提供標準且熟悉的介面，以在大部分情況下通知使用者。

此類別中落的錯誤包括：

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

無法通知使用者這類錯誤，可能會向使用者公開各種安全性缺口，包括詐騙攻擊或非自願資訊洩漏。

線上安全性變更時通知使用者

一律在連線安全性變更時通知使用者，例如從 HTTPS 變更為 HTTP。否則，除非使用者明確選擇不收到這類變更的通知，否則您會隱瞞非自願資訊洩漏的風險。

在報告這類連線安全性變更的函式中，有 InternetStatusCallback 回呼函式和 InternetConfirmZoneCrossing 函式。

注意

WinINet 不支援伺服器實作。此外，不應該從服務使用。針對伺服器實作或服務，請使用 Microsoft Windows HTTP 服務（WinHTTP）。