全站HTTPS一点都不简单

  • 时间:2018-06-20 22:31 作者:王者的农场 来源:王者的农场 阅读:121
  • 扫一扫,手机访问
摘要:认知误差现象一向存在于我们每个人身上,谁也防止不掉,不过是有的人理解这件事儿,有的人不怎么知道罢了,这就产生了「无知而不自知」的认知误差。当然,这时候你自己忽悠自己倒没什么,顶多让自己每天感觉自己挺凶猛的,沉迷于虚幻的优越感中,认为自己比大多数人都优异,这倒不是一件什么坏作业,可是,假如你和他人沟通

认知误差现象一向存在于我们每个人身上,谁也防止不掉,不过是有的人理解这件事儿,有的人不怎么知道罢了,这就产生了「无知而不自知」的认知误差。当然,这时候你自己忽悠自己倒没什么,顶多让自己每天感觉自己挺凶猛的,沉迷于虚幻的优越感中,认为自己比大多数人都优异,这倒不是一件什么坏作业,可是,假如你和他人沟通交流中展现出来,那挺可怕的,何况有时候你自己并不知道,达克效应(Dunning-Kruger Effect)描绘的就是这种现象。

全站HTTPS一点都不简单

防止这种现象在自己身上的存在,没什么特别办法,多学习那些自身就极端优异的人是怎么考虑和生计的,体现出谦逊算其间一种,还有就是多读书。就这样...

全站 HTTPS 必要准备作业

做任何一件作业最好的状况就是你恰好做过,这倒没什么可说的,由于第2次总是要比第一次好。假如你没做过这件事怎么办?没事,去看看他人怎么做的。

晋级全站 HTTPS 作业在两年前左右应该是评论最火的了,在2014年末,Google Chromium 安全团队提议将一切的 HTTP 协议网站标示为不安全,市场占有率较高的 Chrome 浏览器也是这么做的,所以在接下来一段时间内,各个大厂、大公司都逐步晋级了 HTTPS 协议,当然,上一年 Apple 也宣告一切运使用开发者必需在 2017 年 1 月 1 日之前完结一切的 App 接入安全地效力器,即网络传输协议运使用 HTTPS。所以呢,我们就简略的看一下国内这些顶尖互联网企业怎样完结全站 HTTPS 的:

淘宝

启使用全站HTTPS后不只更安全并且更快 看淘宝是怎样做到的

百度

大型网站的HTTPS实践一:HTTPS协议和原理

HTTPS对网站功可以SEO有哪些影响?

大型网站HTTPS实践三:根据协议和装备的优化

大型网站的HTTPS实践四:协议层以外的实践

看完这些文章后,估量你就可以够知道要买 SSL 证书了,也可以够去买 SSL 证书了,详细是运使用各个云效力商家的免费单域名证书,仍是事务需求更强壮的泛域名证书、OV 证书等等,你就需求看看我写的这两篇文章了(好不要脸吖..):

让你的网站免费支撑 HTTPS 及 Nginx 滑润晋级

一篇文章让你搞懂 SSL 证书

剖析整个体系拟定方案

有方案才干没改变。其实也没什么要做的,只需一件事,你接下来要做的仅有一件事就是理解整个体系。计算出一切已使用到的域名,需求购买什么类型域名证书,是二级域名、三级域名仍是各种杂乱无章的域名,自己剖析;再而后,理解每个域名背面的效力是怎样运作的,这里边会涉及到前台页面、少量资源文件的固定协议引证,后台代码中关于协议获取是写死的仍是动态的,数据库中存储的网址链接等等,这些通通要考虑到。

剖析完体系后,其间一定会存在混合协议拜访恳求,HTTPS 下浏览器会拦截掉一切 HTTP 恳求的,不同页面间跳转、不同效力域名间跳转假如是以固定的 HTTP 协议写死的,要支撑全站 HTTPS 协议,首要解决的是以当时协议来灵敏的区别不同域名效力间的跳转。其次,HTTPS 协议首次恳求存在多次握手,因此网络耗时变长问题,可可以会影响体系拜访速度。所以,我是主张方案分为两个阶段来进行全站 HTTPS 晋级:

一阶段:将现在一切域名装备为支撑 HTTP 和 HTTPS 两种协议,不做 HTTP 恳求强制 HTTPS 跳转。在验证及测验完结 HTTPS 下,体系一切效力以及拜访速度均无问题后,进行施行二阶段方案。

二阶段:在上阶段不强制 HTTPS 拜访验证通往后,域名做强制 HTTPS 协议。即当使用户以 HTTP 协议拜访体系时, 如使用 Nginx 做强制 301 跳转到 HTTPS 协议,做到全站 HTTPS 安全拜访协议。

不出意外,依照这两步方案,应该可以够保险是进行全站 HTTPS 晋级作业,当然,期间不行防止的会踩少量坑,由于每个公司事务不同、体系环境不平等起因,都会遇到不行预估的问题,一个个解决就行了。我下面会写一下晋级期间共性的、也就是每个人都必需要踩的坑和怎样解决这些问题。

十条注意事项

1、浏览器拦截混合拜访恳求

由于浏览器安全规矩,在 HTTPS 恳求下经过 JavaScript 恳求 HTTP 恳求或者引进 HTTP 协议资源文件,会报“Mixed Content”过错,导致恳求无法持续。

Mixed Content: The page at 'https://domain.com/' was loaded over HTTPS, but requested an insecure script 'http://domain.com/'. This request has been blocked; the content must be served over HTTPS.

2、前台 HTML、JS 资源引使用存在 HTTP

前台页面及 js 文件中,写死的 http:// 协议资源及跳转改为根据当前协议切换(//)。

用相对协议,如:

最新发布的资讯信息
【系统环境|服务器应用】Discuz隐藏后台admin.php网址修改路径(2019-12-15 14:52)
【系统环境|服务器应用】Discuz发布帖子时默认显示第一个主题分类的修改方法(2019-12-09 00:13)
【系统环境|软件环境】Android | App内存优化 之 内存泄漏 要点概述 以及 处理实战(2019-12-04 14:27)
【系统环境|软件环境】MySQL InnoDB 事务(2019-12-04 14:26)
【系统环境|软件环境】vue-router(单页面应用控制中心)常见用法(2019-12-04 14:26)
【系统环境|软件环境】Linux中的Kill命令(2019-12-04 14:26)
【系统环境|软件环境】Linux 入门时必学60个文件解决命令(2019-12-04 14:26)
【系统环境|软件环境】更新版ThreeJS 3D粒子波浪动画(2019-12-04 14:26)
【系统环境|软件环境】前台开发WebStorm常用快捷键,火速收藏!(2019-12-04 14:25)
【系统环境|软件环境】微博H5登录和发微博组件(2019-12-04 14:25)
手机二维码手机访问领取大礼包
返回顶部