我在一些博客上读过(抱歉没有提及参考资料,但我找不到了)如果您将用户从 https 页面重定向到 http 页面,您将失去保护网站安全的所有工作。
那么,有人可以向我解释一下在以下情况下我是对还是错:
问题的另一方面是:https 允许缓存静态文件吗?
我在这里读过其他文章,但我仍然很困惑,因为有些人说“是”,有些人说“不”;也有人说这取决于浏览器。
在您的实例中(仅确保login
使用 HTTPS 的页面),同时登录详细信息将受到保护(例如用户名/密码),您的用户将容易受到会话劫持。
使用 HTTP/HTTPS 混合还是完整 HTTPS 取决于您的情况。例如,亚马逊将使用 HTTPS 进行登录,但您将使用 HTTP 浏览网站,但一旦您进入敏感区域(订单详细信息屏幕、更改帐户/密码详细信息等),它就会切换到 HTTPS 并询问您重新进行身份验证。从 HTTP 切换到 HTTPS 后重新对用户进行身份验证是阻止会话劫持的关键,因为您实际上是在发出新的会话令牌。因此,如果用户窃取了会话令牌,他们仍然没有您的用户名/密码,也无法访问您的帐户部分。
如果管理区域特别敏感,那么只需使用 HTTPS 即可完成整个操作。 Google 发现使用完整 HTTPS 的 CPU 开销在 1-5% 之间,基本上几乎没有什么开销。
至于在 HTTPS 上缓存静态文件,我不确定,但是这篇 SO post 建议它会正常缓存Web 浏览器是否会通过 https 缓存内容 https://stackoverflow.com/questions/174348/will-web-browsers-cache-content-over-https
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)