【发布时间】:2009-07-13 10:12:27
【问题描述】:
确保所有资产(图像等)在所有安全页面上都是 https://.... 以便 ssl 证书显示在浏览器地址栏中的最佳方法是什么?
【问题讨论】:
【发布时间】:2009-07-13 10:12:27
【问题描述】:
为他们使用相对地址!
【讨论】:
我在 apache 中使用以下重写代码将任何非安全流量重定向到 https://
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
【讨论】:
为您的应用程序创建一个最顶层的文件夹,并将所有组件/资产放置在此文件夹中。确保最顶层的文件夹需要 SSL。
同样从最佳实践的角度来看,有一点值得讨论:
您的图片真的需要 SSL 吗?除非有一些验证码图像或其他安全要求,否则请考虑不要对图像使用 SSL - 它可以节省 n/w 和服务器/客户端 CPU。
【讨论】:
-
如果您想通过 SSL 发送页面,那么您还应该通过 SSL 发送图片,否则许多浏览器会告诉您“安全页面中嵌入的不安全内容”。
-
没错。还将同意此类消息可能会使用户感到困惑。然而,根据我的经验,对于常规网站(即没有特殊安全需求)图像 SSL 是一种矫枉过正。在客户端,图像将进行解压缩(从 jpeg 和其他格式)和 SSL 解密。