通过

安全准则

  • 项目

请务必让用户了解可能的安全问题。

始终通知用户安全的任何更改,无论是与安全相关的错误(例如证书失败),还是基础协议安全性的更改,例如从 HTTPS 站点更改为 HTTP 站点。

当应用程序收到可能指示安全问题的错误消息时,internetErrorDlg 函数 提供了一个标准熟悉的界面,用于在大多数情况下通知用户。

属于此类别的错误包括:

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

未能通知用户错误(例如这些错误)可能会向用户公开各种安全漏洞,包括欺骗攻击或非自愿信息泄露。

连接安全更改时通知用户

当连接的安全性发生更改时,始终通知用户,例如从 HTTPS 更改为 HTTP。 否则,除非用户明确选择不收到此类更改的通知,否则您将隐瞒非自愿信息泄露的风险。

报告连接安全性更改的函数包括 InternetStatusCallback 回调函数和 InternetConfirmZoneCrossing 函数。

注意

WinINet 不支持服务器实现。 此外,不应从服务使用它。 对于服务器实现或服务,请使用 Microsoft Windows HTTP 服务(WinHTTP)