それが307の目的だと思います。 RFC2616は次のように述べています。
GETまたはHEAD以外の要求に応答して307ステータスコードを受信した場合、ユーザーが確認できない限り、ユーザーエージェントは要求を自動的にリダイレクトしてはなりません。これにより、要求が発行された条件が変わる可能性があります。
しかし、302についても同じことが言え、そこで何が起こるかはわかっています。
残念ながら、RFCのように応答コードを処理しないブラウザよりも大きな問題があり、それはHTTPの動作に関係しています。簡略化すると、プロセスは次のようになります。
- ブラウザがリクエストを送信します
- ブラウザは、リクエスト全体を送信したことを示します
- サーバーは応答を送信します
おそらく、ユーザーは自分の投稿で機密情報を送信しているので、暗号化を使用する必要があります。ただし、リダイレクト応答(ステップ3)をユーザーの暗号化されていないPOST(ステップ1)に送信した場合、ユーザーはすでにすべての機密情報を暗号化されていない状態で送信しています。
ユーザーが送信する情報を機密情報とは見なさず、送信する応答のみを機密情報と見なす可能性があります。ただし、これは意味がありません。機密情報は特定の個人のみが利用できるようにする必要があり、ユーザーの認証に使用される情報は必然的にリクエストの一部になります。つまり、応答は誰でも利用できるようになります。したがって、応答が機密である場合、要求も機密です。
すべての安全な投稿がHTTPSを使用するように、多くのコードを変更したいと思うようです(おそらく、そもそもそのように記述しておく必要があります)。また、HTTPSでWebサイトの一部のみをホストするという決定を再検討することもできます。インフラストラクチャがすべてのHTTPS接続を使用して処理できないことを確認しますか?できると思います。そうでない場合は、おそらくアップグレードの時期です。