<分区>
我正在研究是否可以在完整的 https 中创建一个新站点,而不是只在 https 中创建它的一部分,例如登录。这是基于最近 OWASP report 中提供的指南
我正在寻找这种方法的优缺点?是的,我获得了安全感,但是这样做我有什么损失呢?所有反馈都会很棒。
<分区>
我正在研究是否可以在完整的 https 中创建一个新站点,而不是只在 https 中创建它的一部分,例如登录。这是基于最近 OWASP report 中提供的指南
我正在寻找这种方法的优缺点?是的,我获得了安全感,但是这样做我有什么损失呢?所有反馈都会很棒。
最佳答案
完整的 https 有两个缺点。
对于现代系统,加密和 session 设置对性能的影响在今天确实不是问题。性能不再是不使用 https 的借口。
Http 代理无法缓存 https 页面或 Assets ,这可以看作是好事或坏事。如果你依赖缓存来提高性能,那是很糟糕的,它主要影响页面资源,如脚本、CSS 和图像。不过,客户端缓存应该仍然有效。
完整的 https 提供的增强的安全性、身份验证和客户信心远远超过了这些缺点。
关于.net - https网站的优缺点?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13907041/