我已经阅读了一些博客(很抱歉没有提及参考但我再也找不到了)如果您将用户从https页面重定向到http页面,您将失去保护站点的所有工作.
那么,在下列情况下,有人可以向我解释一下我是对还是错:
在登录页面上使用https然后将其重定向到带有http的管理页面是正确的做法,还是会产生会话修复劫持,窃取会话等安全问题?
或者我必须将管理页面也保留在https中吗?
问题的另一方面是:https是否允许缓存静态文件?
我在这里读过其他文章,但我仍然感到困惑,因为有人说'是',有些人说'不'; 也有人说它取决于浏览器.
在您的实例中(仅login使用HTTPS 保护页面),登录详细信息将受到保护(例如用户名/密码),您的用户将容易受到会话劫持的影响.
是否使用HTTP/HTTPS或完整HTTPS的混合取决于您的情况.例如,亚马逊将使用HTTPS进行登录,但您将使用HTTP浏览该网站,但只要您进入敏感区域(订单详细信息屏幕,更改帐户/密码详细信息等),它就会切换到HTTPS并询问你要重新认证.从HTTP切换到HTTPS后重新认证用户是停止会话劫持的关键,因为您实际上是在发布新的会话令牌.因此,如果用户窃取了会话令牌,他们仍然没有您的用户名/密码,也无法访问您的帐户部分.
如果管理区域特别敏感,那么只需要整个HTTPS.Google发现使用完整HTTPS的开销在CPU上的开销在1-5%之间,基本上几乎没有.
至于在HTTPS上缓存静态文件,我不确定,但是这篇SO帖子表明它会像正常一样缓存网页浏览器是否会通过https缓存内容