如果我使用http作为我网站的一部分而https作为另一部分,这会打开任何安全问题

时间:2016-03-08 13:48:49

标签: node.js http https

我有一个node.js应用程序。

我已将其配置为从http重新定向到https。

但我在想如果在http上显示正常页面的额外工作以及只能通过https显示登录页面,这是值得的。

我的应用程序中是否同时暴露了任何安全漏洞?

1 个答案:

答案 0 :(得分:0)

是多个,包括:

  1. Cookie会在两个网站之间共享,除非您每次设置Cookie时都记得包含“安全”属性。
  2. 您很容易受到MITM攻击(例如,替换http上的“登录”链接,以使您保持http状态或将您重定向到其他网站)。
  3. 需要在安全站点上通过https加载资源,否则您将收到混合安全警告。在运行混合网站时很容易错过这个。
  4. 用户不知道页面是否安全。
  5. 可以忘记更新证书和/或查看证书错误,但如果整个站点是https,这应该更加明显。
  6. 无法使用HSTS等高级安全功能。
  7. 而这只是我的头脑。

    到处都是https,并将所有http流量重定向到https。除非你有充分的理由不这样做。

    还有其他好处(用户信心,看起来更专业,小SEO自夸,谷歌认为这是两个网站,更容易管理网站,Chrome很快就会阻止访问http等位置跟踪等功能,无法升级到HTTP / 2直到你实施https ...等。)。