什么是更好的设置?
我非常倾向于解决方案1,但这只是因为感觉正确。对于其中一个是否有一个压倒性的令人信服的论点?搜索引擎和移动设备如何响应任一设置?
答案 0 :(得分:0)
我认为答案是“它取决于”。如果你不走这条路,还有一些重要的安全措施。
如果您希望加密网站上的每个网页,并且不希望允许任何未加密的网络流量,那么1是更好的设置;或“唯一”设置将实现您的目标(同时,为所有https响应发送HSTS标头)。
我有几个网站无条件地通过http访问所有网址的301标头,并且不会遇到问题。 2017年,一旦用户通过热点进行身份验证,受付费墙保护的所有WiFi热点都不会出现HTTPS站点问题。
如果您不想或不能加密每个页面(原因可能包括有限的资源,缓存层,或某些页面不会受益于加密),那么只需要对某些资源使用HTTPS(登录表格,结账,付款表格,帐户管理等)。请记住安全实践(任何包含表单的页面都应该通过HTTPS提供,以防止篡改表单,并且应该将表单链接到https链接。)
如果您想鼓励使用https而不明确强制使用https,您可以允许对网站页面进行未加密的访问,但在内部将所有内容链接到https。因此,如果某个人进入http页面,则所有链接都指向https,因此无论他们点击什么,都会加密会话以供将来访问(请注意,如果您在此处发送HSTS标头,则浏览器将始终使用https)。
所以个人而言,我会选择#1 - 强制使用https。
以下是一些有用的开始阅读的地方: