本文目录一览:
为什么要全站 HTTPS
全站https会带来以下优势:
1、全网站加https会更安全
https的主要功能之一是确保数据在传输的过程中被加密,只有相应的服务器或用户浏览器接收时才能被解密,避免了被第三方拦截和篡改。https还有另外一个功能是提供可信的服务器认证,这是一套黑客不能随意篡改的认证信息,使相关用户确定他们正在与正确的服务器通信。
如果没有全网站加https,会导致一些页面为https,而一些也页面则还是http,当通过http或不安全的baiCDN服务加载其他资源(例如JS或CSS文件)时,网站也存在用户信息被泄露的风险,而全网站https是防止这种风险最简单且有效的方法。
2、帮用户识别钓鱼网站
上面提到了https可以进行服务器认证,当服务器的真实身份得到认证之后可以有效的区别于钓鱼网站。全网站加https后,浏览器则会内置安全机制,实时查验证书状态,通过浏览器向用户展示网站的认证信息,让用户能够轻松识别网站的真实身份,防止误入钓鱼、仿冒网站。
3、对搜索引擎更友好
当网站存在https和http两种协议时,需要以https这http两种方式管理整个网站,并且需要仔细、精确的控制重定向。网站很容易在两个协议中被一个或多个网页解析,导致搜索引擎抓取和索引出单个网页的两个版本,从而导致网页的搜索可见性降低(因为搜索引擎会认为这两个网页相互竞争)。即使没有这种风险,搜索引擎有时会索引某些错误协议的网页,从而对点击进入的用户进行不必要的重定向,反而对服务器造成了不必要的压力,稀释了搜索权限并会减慢网页加载速度。
如何关闭跨站点脚本 (XSS) 筛选器
这个错误是由于 IE8 的跨站脚本(Cross-site scripting, XSS)防护阻止了跨站发送的请求。
点击 IE8 的“工具”-“Internet 选项”,进入“安全”选项卡,打开“Internet”下方的“自定义级别”,在“安全设置”对话框中找到“启用 XSS 筛选器”,改为“禁用”即可。
Cookie如何防范XSS攻击?
XSS(跨站脚本攻击)是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上set-cookie:
httponly此属性可以防止XSS,它会禁止javascript脚本来访问cookie。
secure 属性告诉浏览器仅在请求为https的时候发送cookie。