内容摘要：Cloudflare宣布已关闭所有HTTP连接，现在仅接受通过HTTPS加密的安全连接访问api.cloudflare.com。这一举措旨在防止未加密的API请求被发送，即使是意外发送，从而消除敏感信

Cloudflare宣布已关闭所有HTTP连接，全面现在仅接受通过HTTPS加密的禁止安全连接访问api.cloudflare.com
。这一举措旨在防止未加密的未加问API请求被发送
 ，即使是密流意外发送，从而消除敏感信息在明文流量中暴露的量访风险
。

全面禁止未加密连接

Cloudflare在周四的端点公告中表示  ：“从今天起，任何未加密的全面api.cloudflare.com连接都将被完全拒绝。源码下载”该公司进一步解释道：“开发者不应再期望HTTP连接会收到403 Forbidden响应，禁止因为我们将通过完全关闭HTTP接口来阻止底层连接的未加问建立。只有安全的密流HTTPS连接才被允许建立。”

Cloudflare API帮助开发者和系统管理员自动化和管理Cloudflare服务 ，量访包括DNS记录管理、端点防火墙配置、全面DDoS防护 、禁止缓存 、未加问SSL设置、基础设施部署 、服务器租用访问分析数据以及管理零信任访问和安全策略。

未加密连接的风险

此前，Cloudflare系统允许通过HTTP（未加密）和HTTPS（加密）访问API，要么重定向HTTP请求 ，要么直接拒绝。然而  ，正如公司所解释的，即使是被拒绝的HTTP请求也可能在服务器响应之前泄露敏感数据，免费模板如API密钥或令牌
。

被阻止请求中泄露的机密信息来源：Cloudflare

这种情况在公共或共享Wi-Fi网络中更为危险 ，因为中间人攻击更容易实施 。通过完全禁用HTTP端口访问API ，Cloudflare在传输层阻止了明文连接，从一开始就强制使用HTTPS 。

影响与后续措施

这一变更立即影响了所有使用HTTP访问Cloudflare API服务的用户
。依赖该协议的脚本 、机器人和工具将无法正常工作 。源码库同样 ，不支持HTTPS或未默认使用HTTPS的遗留系统、自动化客户端 、物联网设备和低级客户端也会受到影响。

对于在Cloudflare上托管网站的客户，公司计划在今年年底前发布一个免费选项 ，以安全的方式禁用HTTP流量 。Cloudflare的数据显示 ，模板下载通过其系统的互联网流量中
，仍有约2.4%是通过不安全的HTTP协议传输的。如果考虑到自动化流量，HTTP的比例则跃升至近17% 。

客户可以在仪表板的“Analytics & Logs > Traffic Served Over SSL”下跟踪HTTP与HTTPS流量，以评估这一变更对其环境的建站模板影响
。