100%HTTPS站点的优缺点是什么？

首先,让我承认我对HTTPS的了解非常简陋.我不太了解会话安全性,加密或这些事情应该如何完成.

我所知道的是网络安全很重要; XSS,CSRF和数据库注入的恐怖故事一再出现.我知道对这种攻击的预防性立场比反应性更好.

但这个问题的动机来自不同的观点.我在经常接受用户付款的网站上工作.显然,付款是通过安全通道(HTTPS)发送的.我主要研究网站的CSS,HTML和JavaScript.我被告知的是,有必要复制CSS,JavaScript和图像文件,然后才能通过HTTPS调用它们.假设我有以下文件:

CSS/global.css中

JS/global.js

图片/

logo.png

bg.png

我理解它的方式,这些文件需要复制才能"添加"到HTTPS.因此,文件可以是安全性(HTTPS),也可以不是.

如果这是真的,那么这是一个主要的障碍.即使是最小的站点,重复文件也是一个很大的痛苦,然后每次进行CSS或JS更改时都必须维护它们.显然,通过将所有内容移动到HTTPS中可以缓解这种情况.

所以我想知道的是,一个完全落后于HTTPS的网站的优缺点是什么？它会导致明显的开销吗？将整个网站置于加密状态是否愚蠢？用户在整个访问期间在浏览器中看到"安全"通知会更安全吗？最后但并非最不重要的是,它真的能够建立一个更安全的网站吗？HTTPS 无法防范什么？

您可以通过HTTPS提供与通过HTTP相同的内容(只需将其指向同一文档根目录)即可.

可能是主要或次要的缺点,取决于:

通过HTTPS提供内容比通过HTTP提供内容要慢.

由知名当局签署的证书可能很昂贵

如果您没有受信任机构签署的证书(例如,您自己签名),访问者将收到警告

这些是非常基本的,但只需要注意几点.另外,就个人而言,我觉得整个网站是HTTPS更好,如果它与财务相关,显然,但就一般浏览而言,不,我不在乎.

明显的开销？是的,但这些日子越来越少,因为客户端和服务器的速度要快得多.

您不需要复制所有内容,但确实需要通过HTTPS访问这些文件.您的HTTPS和HTTP服务可以使用相同的doc root.

将整个网站置于加密状态是否愚蠢？通常没有.

用户会觉得更安全吗？大概.

它真的能够建立一个更安全的网站吗？仅在处理客户端和服务器之间的通信通道时.其他一切仍然可以争夺.