编 写:袁 亮 时 间:2015-11-20 说 明:https的使用注意事项 一、全部https的优缺点以及选择 1、优点 1.1 安全性高 2、缺点 2.2 用户访问会变慢,特别是第一次访问(需要下载证书) 2.2 开发成本较高,https页面的所有资源都必须是https资源 2.3 统计代码不能使用,大部分统计代码都不提供https版本 2.4 服务器端的负载也会变高 3、其他网站参考 3.1 百度、淘宝等很多二级域名也不是https 3.2 京东大部分都不是https 4、结论 只针对安全级别高的几个页面采用https即可,不需要整个域名都使用https 二、开发过程注意事项 1、静态资源都必须是https 1.1 js等请求,浏览器直接会阻止http的请求 1.2 图片请求,http的不阻止,但是会报warning错误 1.3 为兼容http和https同时访问,可以写//***.ci123.com/****,会自动根据当前的访问协议加上http或者https 2、ajax请求 2.1 ajax请求也必须是同协议的,否则将跨域,不能访问 2.2 jsonp可以解决这个问题,但最好不要这么做 3、核心cookie可以设置为仅https访问 3.1 淘宝中的skt,对应的应该是一个sessionId,就是仅https的 3.2 这个设置要小心,因为该cookie在http中是访问不到的 3.3 可以防止cookie被劫持,一般用与session 3.4 用的不多 4、关键地方,只配置https,不允许http访问 4.1 防止用户被引导到http请求中,然后输入了敏感信息 三、安全问题 1、证书伪造:浏览器有提示 2、引导到http请求,然后盗取 四、其他 1、https请求可以被缓存 附录: 1、HTTPS连接的前几毫秒发生了什么 http://blog.jobbole.com/48369/ 2、与HTTP有什么区别?HTTPS的七个误解 http://www.chinaz.com/web/2015/0320/391752.shtml 3、HTTPS那些事(一)HTTPS原理 http://www.guokr.com/post/114121/ 日志转载:HTTPS那些事(二)SSL证书 http://www.guokr.com/post/116169/ HTTPS那些事(三)攻击实例与防御 http://www.guokr.com/blog/148613/