我不想給黑客留下任何機會,看看我把URI分開放在域中。例如,自定義http標題vs https。在這種情況下哪個最好?
http://www.mynewwebsite.com/(一些文字或webpage.html)
在上面,我要讓「(一些文字或webpage.html)」安全
現在我兩種方法之間的困惑。
1)我應該添加一個自定義的http頭,其值是「(某些文本或webpage.html)」,並在服務器上,我讀取頭來解決請求。
2)我應該簡單地切換到https?
每個的優缺點是什麼? (忘記額外的錢我需要支付使用https)
在此先感謝。
切換到HTTPS是簡單的解決方案,如果你不希望黑客嗅探網絡和讀取請求參數
隨着HTTPS,請求和頭被加密,這應該防止窺探按您的要求。根據您的設置,SSL證書可以使用Let's Encrypt免費。
如果您只是將自定義標頭添加到HTTP請求中,您可能會粗略地隱藏自己的意圖,但數據仍然可以被第三方訪問。
HTTPS沿從點A到點B的路線加密您的有效負載(包括通過SSL/TLS的標頭和URL),防止黑客在這兩點之間攔截它時看到您的數據。這是實現您所尋求的安全性的唯一途徑。
但是,如果潛在的黑客合法地坐在B點,HTTPS不會幫助你。無論信息是隱藏在頁眉或部分網址中,它都會顯示。任何人都可以看到標題。如果要隱藏最終用戶的特定信息,請手動對其進行加密。
1)我應該添加自定義HTTP頭,其值爲「(一些文本或 webpage.html)」,並在服務器上,我讀了頭,以解決 請求。
我想你誤解了http的工作原理。標題內容在正文內容之前發送。黑客可以簡單地閱讀整個流,並只關注報頭來提取信息。
2)我應該簡單地切換到https嗎?
如果您打算進行用戶身份驗證或希望保密的話,切換到HTTPS是必須的(對我來說)。它加密信息,以防意外收件人無法理解。收件人必須用他們的私鑰來決定這些信息。
您有一些SSL選項。
讓加密 這是最大的免費SSL證書提供商。然而,他們的證書只有3個月的生命,所以你需要不時更新它。也許你可以查找
cron工作,並使用它來檢查我們的服務器加密並在有效期限過後更新。
其他付費SSL提供商 儘管兩者在加密級別上沒有不同。但是可以加密的兩個特性之間的突出特點是* .yoururl.com上的通配符ssl。這提供了整個子域不只是一個網址,以及在發生違規事件時,保險將涵蓋損害。
HTTPS是免費的,隊友。 https://letsencrypt.org/任何可以攔截URL的黑客都可以攔截自定義標題,如果它是通過HTTP。使用HTTPS。 – ceejayoz