0
我有一个node.js应用程序。如果我使用http作为我的网站的一部分,而使用https作为另一部分,这会打开任何安全问题
我已将它配置为将所有内容都重定向到http。
但我想如果额外的工作,使正常页面上可见的http和登录页面只能通过https可见,将是值得的努力。
确实在我的应用程序中都暴露了任何安全漏洞?
A
回答
0
有多个,其中包括:
- Cookies是,除非你要记住,这两个站点之间共享的“安全”属性每次设置cookie。
- 您很容易受到MITM攻击(例如,替换http上的“登录”链接以使您保持http或将您重定向到另一个站点)。
- 资源需要通过安全站点上的https加载,否则您将收到混合安全警告。运行混合网站时很容易忽略这一点。
- 用户不知道页面是否应该安全。
- 可以忘记更新证书和/或查看证书错误,但如果整个站点都是https,这应该更明显。
- 无法使用HSTS等高级安全功能。
这就是我的头顶。
到处都是https,并将所有http流量重定向到https。除非你有充分的理由不这样做。谷歌认为这是两个网站,更容易管理网站,Chrome很快就会阻止访问某些功能,比如http上的位置跟踪功能,无法升级到其他功能。 HTTP/2直到你实现https ...等)。
相关问题
- 1. 如何使用安全http(https)打开我的网站?
- 2. 如何访问我的drupal网站作为https而不是http?
- 3. 如何分割文本行,并使用一个部分作为文件名,另一部分为文件内容
- 4. 如何使用reCAPTCHA作为弹出窗口而不是网页的一部分?
- 5. 作为持续集成构建的一部分部署网站
- 6. 如果我打开源代码的一部分,我的程序是否会计算为派生作品?
- 7. 为php网站创建一个安全的仅管理部分
- 8. 如何打开作为解决方案一部分的文件?
- 9. 使用变量作为另一个变量的部分值?
- 10. Json -v 1.8.6不会安装作为capistrano部署的一部分
- 11. 在我的网站中使用Drupal的一部分
- 12. 作为我的部署任务的一部分,如何在Capistrano中打印我的git标签?
- 13. 保存选择网页的一部分作为使用Javascript
- 14. 我想使用部分页面网址作为页面标题使用PHP
- 15. 如何使用函数参数作为变量的一部分?
- 16. 如何使用#作为CoffeeScript heregex的一部分?
- 17. 如何在Selenium中仅使用UrlToBe作为URL的一部分
- 18. 如何切割/使用对象的一部分作为对象?
- 19. 如何使用preg_replace模式的一部分作为变量?
- 20. 作为我的安装程序的一部分,如何安装“DataMining for Office 2007”?
- 21. 我如何序列化JSchema作为另一个对象的一部分?
- 22. 从我的网站的另一部分链接到页面部分
- 23. 如何在分部上打开网站?
- 24. 强制WWW为我的网站的一部分
- 25. 作为Octopus Deploy的一部分,我如何运行npm install?
- 26. 安全问题使用Git时,作为部署工具
- 27. 使用URL的某些部分作为
- 28. 如果网站已嵌入其他HTTPS网站,HTTPS网站是否会遇到一些安全问题?
- 29. 如何使用sbtosgi生成osgi包作为sbt发布任务的一部分
- 30. 如何让我的布局工作的这一部分?