我们需要HTTPS(网络上的安全/加密数据)的原因:
我们需要获取用户端数据(通过表单或URL,用户通过网络将数据发送到服务器),这是通过http + ssl加密完成的 - 所以在这种情况下只有表单或者用户向服务器发送/发送数据的URL必须是安全URL而不是我发送给浏览器的页面[例如。当我需要有客户注册表单从服务器本身我必须将其作为https url发送 - 如果我不这样做,那么浏览器将发出混合内容错误的警告。相反,浏览器可能有某种形式提到我必须提供的安全网址形式是错误的。
在某些情况下,除了我允许的以外的任何人都无法读取我的服务器端内容 - 因为我可以使用https在服务器端使用额外的安全措施来提供内容。
< / LI>除了这两种情况,我没有看到任何理由通过网络使用基于https的编码内容。让我们假设一个网站有10+ css,10 + js,50+图像,内容权重为200k,总重量可能是2-3MB - 所以这整个内容都是加密的 - 毫无疑问这将是最小的。浏览器和服务器之间建立100 - 280连接。
请解释 - 为什么我们需要遵循我们提供的方式[我们大多数人都在做,因为浏览器/谷歌搜索引擎/ w3o标准要求我们在每个页面上使用]。
答案 0 :(得分:2)
为什么我们需要遵循我们提供的方式
因为否则它不安全。警告这一点的浏览器并没有错。
让我们假设一个10+ css,10 + js
的网站
只有1。js服务于非HTTPS,而中间人攻击者可以将abitrary代码注入您的HTTPS页面,从中可以完全控制用户与您网站的互动。这就是为什么浏览器不允许它,并给你混合内容警告。
(在许多情况下.css可以产生同样的影响。)
另外,对于不同的页面,在HTTP和HTTPS之间切换只是简单的安全可用性。用户可能没有注意到该切换,并且可能被欺骗以将数据输入(或接受来自)非HTTPS页面的数据。攻击者必须做的就是更改其中一个HTTP链接,使其指向HTTP而不是HTTPS,并且通常的过程将被破坏。
毫无疑问,这将是最小的。浏览器和服务器之间建立100 - 280连接。
HTTP [S]重用连接。您不为每个链接的资源支付SSL握手延迟。
今天,对于典型的小型网络应用来说,HTTPS的价格实在不值得担心。