可能重複:
Why not use HTTPS for everything?通過HTTP/HTTPS提供的Web應用程序?
我知道之間的HTTP和被確保HTTP通信相關HTTPS的基本差異。
我想知道爲什麼有些網站同時在HTTP和HTTPS上提供服務?在我之前的一個項目中,同一個網站是通過端口8443服務的,即用於HTTP的HTTPS和端口80。
當我登錄到網站,我看到了開頭的網址https://www.my.org.etc
登錄後,所有其他網頁也出現與https://www....,不是一個單一的屏幕供應超過http://www...。
那麼我們爲什麼要配置應用程序通過http服務呢?我們只能通過HTTP S來提供應用程序嗎?
主要是出於性能原因,SSL握手。我絕對需要時只使用https。請參閱以下
的Https有關於HTTP,有什麼可以把它慢一點的開銷。
由於這對於大多數網站來說都是通用的做法,可以從http服務大多數網頁,並且只爲需要通過https提供安全性的網頁提供服務。例如付款頁面或個人數據頁面。
只要https頁面中的所有資源都來自https連接,就可以正常工作。您可能還記得在某些網站上看到,瀏覽器會提醒您,即使頁面是安全的,頁面的某些元素也不會。
一個常見的錯誤是服務於來自http連接的css文件或圖像。
今天很多網站選擇從https連接後面爲所有網站提供服務,安全是一個擔心,無視這樣做(很少)的開銷。
在我們的應用程序中,我們所做的是默認情況下我們的服務器上的所有內容都在https上。
但是如果用戶輸入了http://yourapp.yourdomain。在這種情況下,向他展示該url不存在是個不錯的主意。 所以我們將任何http請求重定向到https。
這是因爲默認情況下,任何請求將通過http服務器,這是瀏覽器默認,如果您不指定協議。因此,如果您沒有將http請求重定向到您的應用,那麼您需要做出改變才能放棄您的觀衆。
HTTPS對於希望通過電線加密的信息很重要。並非所有的東西都需要通過網絡進行加密,而加密和解密過程的額外開銷對您的網站來說可能是過度的。
如果您的網站中有一個頁面需要個人信息,如信用卡號碼,密碼,ssn#等,那麼這些信息應該加密。如果您的網站中有其他網頁顯示圖片和文字,即它只是公開信息,那麼HTTPS就不是必需的。
有時它出於性能方面的原因,有時候是爲了客戶端兼容性,有時它只是爲了避免官方(CA簽名)證書的成本......通常它只是內容並不真正安全敏感......越來越多的公司嗅探https流量,並且可以讀取明文中的任何內容(即來自公司網絡內部的任何https通信) – Yahia
我明白您的觀點,並且答案是我不知道爲什麼通過HTTP完全在生產中。這可能是你想要開發和產品之間的一致性,並且在開發中,你不要在你的Web服務器上安裝SSL證書,但你需要做的。 –