我在这里是一个网站的开发者。我的网站有不同的模块,其中一个功能是处理信用卡。为了处理信用卡,我需要实现SSL层并处理页面。对于其余模块,SSL是可选的。
现在我的观点是:
1。)http和https的文件位置是否相同?
2.。)可以共享http和https的会话吗?这是必需的,因为我需要用户登录信息和购物车项目信息。
答案 0 :(得分:4)
前言:对于大多数小型网站开发人员而言,除非您准备花费大量时间和金钱来实施PCI标准,审计和法规遵从性,否则您不应该编写处理信用卡数据的模块。等你已被警告过了!
现在回答你的问题:
假设您正在使用Apache,您网站的HTTP和HTTPS版本将在VirtualHost的{{1}}指令中声明。 (RHEL将SSL配置放在httpd.conf目录中。)现在,每个虚拟主机可以单独配置其conf.d。因此,您可以选择是否要求它们相同。
在HTTP和HTTPS之间共享会话数据需要特别注意。特别是,您不能在站点的HTTP和HTTPS版本上使用相同的会话ID - 因为只要会话ID通过未加密的HTTP传输,所有会话安全性就会丢失。