我正在建立一个存储用户会话等的市场....我刚刚为登录和付款添加了SSL加密(我使用条带作为支付网关)。我已经看到像facebook这样的网站在每个页面上强制使用HTTPS,这让我想知道,我应该在每个页面上强制使用HTTPS,还是仅仅在登录和付款时使用HTTPS? 旁注,显然SSL加密页面加载速度更快
答案 0 :(得分:1)
是的。但不仅仅因为它加载了更快的or even ranks better on Google than non-HTTPS网站,而且主要是因为安全性。拥有HTTPS会使中间人攻击更加困难,攻击会拦截您的网站与用户之间的连接,以窃取或修改数据。 HTTP的问题在于,某人可能会做到这一点,然后修改链接以指向虚假的登录页面来窃取数据(这个消息偏执但它会发生)。
虽然许多页面使用脚本来检查用户是否正在尝试访问HTTP然后将其重定向到HTTPS版本,但这可能仍然是网站的问题,因为攻击者仍然可以“剥离”任何HTTPS链接(称为SSLStrip攻击)仅使用HTTP然后查看数据,请查看启用HSTS(HTTP严格传输安全性)以增强安全性以避免这种情况。这是通过强制浏览器仅与HTTPS连接上的网站进行交互来完成的,并避免任何类型的降级攻击。