我正在设计我的第一个 GAE 应用程序,显然需要使用 HTTPS 来实现登录功能(不能以明文形式发送我的用户的 UID 和密码!)。
但我对如何在初始登录后处理请求感到困惑/紧张。在我看来,我有 2 个策略:
- 一切都使用 HTTPS
- 从 HTTPS(用于登录)切换回纯 ole' HTTP
第一个选项更安全,但可能会引入性能开销(?)并且可能会通过屋顶发送我的服务账单。第二种选择更快更容易,但安全性较低。
这里的另一个因素是,这将是一个“单页应用程序”(使用 GWT),并且 UI 的某些部分将能够接受付款并需要安全传输财务数据。所以一些 AJAX 请求可以是 HTTP,但其他必须是 HTTPS。
所以我问:
- GAE 有一个漂亮的表格来解释传入/传出带宽资源,但从未具体定义多少 I/O 带宽可以专用于 HTTPS。有人知道这里的限制吗?我计划使用“已启用计费”并为该应用支付一点费用(以及更高的资源限制)。
- 是否可以创建一个 GWT/单页应用程序,其中 UI 的某些部分使用 HTTP 而其他部分使用 HTTPS?还是“全有或全无”?
- 使用全 HTTPS 策略是否有任何真实性能?
了解这些将帮助我在 HTTP/S 混合解决方案或纯 HTTPS 解决方案之间做出决定。提前致谢!
最佳答案
如果您开始混合使用 http 和 https 请求,您将与使用 http 一样安全,因为任何 http 请求都可能被拦截并可能引入可能的 XSS 攻击。
如果您认真对待您的安全性,请仔细阅读,假设您只需要 https 来传输敏感数据,而使用 http 传输其余数据会给您带来很多麻烦。
关于java - Google App Engine 和 HTTPS 策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11914244/