我需要构建一个最终需要通过SSL启动的小型Web应用程序。
我的问题是,我可以设计和测试它,就像它是一个普通的应用程序,只是稍后添加任何必要的东西,以使其安全吗?或者我必须从一开始就通过SSL测试它。
答案 0 :(得分:4)
在开发应用时,您可以等待SSL。小心不要对任何http://网址进行硬编码,我认为您的大部分开发都不会遇到任何问题。上线后,确保在切换到SSL后进行大量测试。
答案 1 :(得分:4)
您可以使用非SSL进行测试,但有一些事项需要注意。如果您要在第三方网站上加载图片或组件(例如CAPTCHA),您需要确保可以通过SSL调用它们。有时,网络分析软件的跟踪像素也会引起痛苦。
答案 2 :(得分:3)
我的问题是,我可以设计和测试它,就像它是一个普通的应用程序,只是稍后添加任何必要的东西,以使其安全吗?或者我必须从一开始就通过SSL测试它。
如果按whatever is necessary to make it secure表示enable ssl,那么请确定,请继续。但是,如果使其安全需要其他事情,如身份验证,授权,基于角色的访问和什么不是,那么没有。传统的观点是在开发的所有阶段都包含安全性,因为您不能只在最后“打开它”。实现具有丰富访问控制的安全系统的大多数问题都不会发生在你身上,除非你实际测试核心功能同时受到这些控制的限制,并且还有机会测试“快乐路径”和通过代码的“不愉快的道路”。
答案 3 :(得分:2)
除了http url注意端口号,你的https流量不会在端口80上。
答案 4 :(得分:2)
如果您正在使用ajax调用,则通过您域上的非https资源代理所有请求。我不久前遇到了一个问题(从非SSL页面调用AJAX调用)。