所以我有一个带有SSL证书的服务器,我在其中托管了各种与我的CRM API交互的脚本。
https://myserverdomain.com/script1, https://myserverdomain.com/script2, 等...
这些脚本中的每一个都对应一个不同的产品,最好用它自己的网址标记。所有产品都通过相同的CRM处理。
http://myproductdomain1.com, http://myproductdomain2.com, 等
示例流程为:
我希望在客户完成订单流程时始终保护网站安全,并且我希望在整个过程中显示网址为myproductdomain1.com。
我根本不知道这个领域,所以我意识到这是一个广泛的问题(如果我对它有更多的了解,我不会问一个问题大声笑)。
有没有办法将我的所有脚本保存在我的服务器上,但显示我的漂亮网址,同时保持网站安全?
我已经通过云闪耀看到了这一点,但我无法弄清楚它是如何完成的。
非常具体,我在hostgator上托管了两个域,myserverdomain.com和myproductdomain.com。
有一个订单表单页面运行位于https://myserverdomain.com/order/orderform.php
的脚本我想要它,以便当客户访问该页面时,它实际上会显示https://myproductdomain.com/order。
myserverdomain.com有SSL证书,我使用cloudflare通过myproductdomain.com路由流量,myproductdomain.com有flex ssl。
所以在这个配置中,可以在保持安全连接的同时做我要求的事情 - 意味着挂锁会显示整个时间吗?
如果是,我该如何配置?
答案 0 :(得分:1)
https的安全性基于多种内容。有一件事是你在各方之间加密并正确识别对等方(即证书检查)。这可以保证连接中的数据不会被嗅探甚至操纵。
安全性的另一部分是用户看到它与安全站点通信并检测通信是否不安全或是否有某个意外站点。这是通过URL栏中的https连接的典型标志(例如EV证书的绿色栏等)来实现的 - 只有那里。
如果您希望将用于https的域保持为用户不可见,因为您只想显示没有https的品牌域,那么您有效地拒绝用户检查正确安全连接的能力。由于用户无法再看到浏览器与哪个域进行通信以及连接的安全性,因此中间人攻击的安全性很简单:只需修改来自品牌域的不安全http连接,以便替换与安全站点的所包含通信与攻击者控制的其他网站。由于只显示了品牌域,因此用户无法检测到此类攻击。
因此我建议不要隐藏用户的真实通信流。