我有一个通过 SSL 提供服务的登录屏幕。用户填写他们的登录名/密码,这将被发布到服务器。此时我想跳出 SSL,所以我将它们重定向回没有 SSL 的同一页面。
这会导致浏览器显示一个警告对话框“您将被重定向到一个不安全的连接”。我怎样才能避免这种情况?我去过很多网站,例如 yahoo mail 和 gmail,它们为您提供 SSL 登录页面,然后将您发送到非 SSL 页面。
第二个问题:这个对话框的目的是什么?它试图警告我一些邪恶的目的——但是将某人重定向到非 SSL 页面有什么不好呢?当我在 SSL 页面上单击非 SSL 链接时,我没有收到警告。重定向某人有什么不同?
我在 ASP.NET 2.0 中这样做 - 但我认为这是一个通用的网络开发问题。
更新摘要:似乎流行的答案是“不要避免”。我可以理解,当安全性被删除时,用户应该收到一条消息。但是当我点击一个链接并且安全被删除时我没有得到一个对话框,所以至少我会说这是不一致的。
对话框/浏览器版本。我实际上没有在 IE7/FF3 中看到该对话框(也许我单击了一个阻止它的复选框)。更重要的是,客户端确实在 IE6 中看到了它——没有用于删除它的复选框(是的,我知道 IE6 很旧而且很垃圾)。
Firefox2:FF2 http://img521.imageshack.us/img521/8455/sslwarning.jpg
IE6:
备选方案:使整个站点都采用 SSL,永远不要将用户重定向到 SSL 之外。我能应付。但我有一个半技术客户,他有一些相当好的观点:
- “SSL 将导致流量/处理能力增加”。我真的不买账,我不认为他的网站每次都需要一个以上的盒子来提供服务。
- “雅虎做到了。雅虎是一家大型技术公司。你比雅虎聪明吗?”
我将尝试将客户转移到一个完全使用 SSL 的站点。我认为雅虎的方法在 1996 年是有意义的,或者对于一个更受欢迎的网站来说。解释为什么会发生此对话的一些官方链接会有所帮助(即 Jakob Nielsen 的真实性级别)。
最佳答案
我前段时间遇到过同样的问题。所以我看了一下 fiddler 内部,看看 yahoo mail 是如何做到的。这是我看到(并在我的网站上使用)的步骤:
用户填写 SSL 加密的表单,然后 POST 到服务器。服务器进行身份验证,并吐出一些脚本来重定向客户端
<script language="JavaScript">
<!--
window.location.replace("~~ non-SSL URL ~~");
// -->
</script>
我认为客户端代码可以避免此对话框。
关于ssl - 避免 SSL "You are about to be redirected to a connection that is not secure."消息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1185830/