Sam*_*tar 2 asp.net https web-services http asp.net-web-api2
我有一个web api应用程序,我正在考虑转向HTTPS.原因实际上只是初次登录,我想隐藏用户名和密码.
登录后,来自页面的所有其他呼叫还需要是HTTPS吗?例如,我对CSS和脚本的调用是否需要通过HTTPS传输?WebAPI如何调用?
当从HTTPS页面引用HTTP内容时,一些用户代理将向用户发出关于"混合内容"或"不安全内容"的警告,其他用户代理可能会阻止该内容(IE的旧版本会这样做).GitHub使用ngnix作为反向代理解决了这个问题,因此它将静态内容作为HTTPS提供.
如果您只担心身份验证,并且它基于cookie,则可以使用HTTPS进行身份验证,然后返回HTTP.只要未标记为cookie,cookie就会被共享Secure.请记住,获取登录表单的GET请求和发送登录表单的POST调用都应该是HTTPS安全的.
您可以在HTTP中使用该页面,并在HTTPS 页面上使用https进行 AJAX调用:Ajax.同样,如果身份验证表单也不安全,这可能毫无用处.
如果您的静态内容托管在CDN中,则CDN可能会将请求代理到您的站点并在需要时返回HTTPS内容.
当您通过HTTPS请求相同的内容时,不会缓存作为HTTP的静态内容,反之亦然,因此它基本上会下载两次.
同样相关,请查看这7个关于HTTPS的神话,特别是神话#1.如果您担心安全性,可能完全切换到HTTPS是最好的决定.
| 归档时间: |
|
| 查看次数: |
200 次 |
| 最近记录: |