似乎大多数主要网站都将使用安全域,但也有一些主要的异常(exception),特别是 facebook 和 twitter。
我想使用安全域的好处是显而易见的 - 您的登录凭据永远不会以纯文本形式传输。
那么像 facebook 和 twitter 这样的主要网站是如何摆脱它的呢?如果某个安全域由于某种原因不可用,您可能会采取哪些额外的预防措施?
最佳答案
如果安全非常重要:是的,登录页面必须是 https,它发布到的页面也必须是 https。没有别的办法。
如果您访问的页面不是 https,则您绝对不能信任从该页面提交的任何内容。由于连接不 protected ,它很容易被篡改(也许通过将其提交到非 https 页面,或者提交到一个完全不同的域,直到为时已晚您永远不会知道)。而如果您访问 https 页面,则可以信任它。您知道该页面的来源并且没有被篡改。当然,您必须提交到 https 页面,因为您希望对数据进行加密(如果浏览器尝试将表单从 https 页面提交到非 https 页面,则应警告您)。
关于security - 登录页面是否完全需要安全域 (HTTPS)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1218093/