如果我使用http作为我网站的一部分而https作为另一部分，这会打开任何安全问题

Question

我有一个node.js应用程序。

我已将其配置为从http重新定向到https。

但我在想如果在http上显示正常页面的额外工作以及只能通过https显示登录页面，这是值得的。

我的应用程序中是否同时暴露了任何安全漏洞？

Answer 1

是多个，包括：

1. Cookie会在两个网站之间共享，除非您每次设置Cookie时都记得包含“安全”属性。
2. 您很容易受到MITM攻击（例如，替换http上的“登录”链接，以使您保持http状态或将您重定向到其他网站）。
3. 需要在安全站点上通过https加载资源，否则您将收到混合安全警告。在运行混合网站时很容易错过这个。
4. 用户不知道页面是否安全。
5. 可以忘记更新证书和/或查看证书错误，但如果整个站点是https，这应该更加明显。
6. 无法使用HSTS等高级安全功能。

而这只是我的头脑。

到处都是https，并将所有http流量重定向到https。除非你有充分的理由不这样做。

还有其他好处（用户信心，看起来更专业，小SEO自夸，谷歌认为这是两个网站，更容易管理网站，Chrome很快就会阻止访问http等位置跟踪等功能，无法升级到HTTP / 2直到你实施https ...等。）。