HTTP的加密部署

香港服务器IDC

HTTP的加密

加密整个网站，加密的问题可能是当今最大的安全问题之一，比如：

（1）没有TLS的网站

（2）具有TLS但不执行TLS的站点

（3）混合了TLS和非TLS内容的网站，有时甚至在同一网页内

（4）编程错误的网站会破坏TLS

删除混合内容

即使你加密了整个网站，仍然可能会从第三方网站中检索出未加密的一些资源。混合内容页面是通过TLS传输但是包含不通过TLS传输的资源（例如，JavaScript文件，图像，CSS文件）的页面。这样的页面非常不安全，这些不受保护的JavaScript资源会被中间人攻击所利用，例如劫持整个用户会话。

了解第三方服务

多数网站都是通过从另一台服务器下载的JavaScript代码来激活的第三方服务比如Google Analytics。包含第三方代码的网站会创建一个隐含的信任连接，有效地使对方完全控制你的网站。虽然第三方连接可能不是恶意的，但是这些服务背后的厂商可能被攻击，比如，如果一个服务器被攻击，那攻击者将自动访问所有依赖该服务器的站点。

安全设置Cookie

为了在保持性能的前提下，实现安全，网站需要TLS，而且所有的Cookie在创建时都被明确标记为安全的。否则就有可能被MITM攻击者利用，建议大家为你的Cookie添加加密完整性验证。

安全的HTTP压缩

CRIME攻击通过利用压缩过程中的漏洞，可解密部分安全连接。而禁用TLS压缩可防止这种攻击。另外要注意，HTTP压缩可能被TIME和BREACH攻击利用。与TLS压缩不同，HTTP压缩是必需的，不能关闭。因此，为了解决这些攻击，需要对应用程序代码进行更改。

配置使用HTTP严格传输安全(HSTS)

要激活HSTS保护，你可以向你的网站添加一个新的响应头。之后，支持HSTS的浏览器就会执行它。通过自动将所有明文链接转换为安全的链接，来实现了这一目标。

建议大家添加对HSTS的支持，这是为TLS安全性做出的最重要的保障。为了获得最佳安全效果，请考虑使用HSTS预加载，将HSTS配置嵌入到浏览器中。只要是在有效期内，浏览器都将直接强制性的发起HTTPS请求。

部署内容安全策略（CSP）

敏感内容作出处理

由于使用基于云的应用平台正在增加，所以为了让所有敏感内容只让接收方收到，你必须小心对敏感内容作出处理。

天下数据提供SSL证书服务，价格低至299/年；天下数据为活动期间购买的用户提供免费安装ssl证书的技术支持服务，免费定制安全解决方案，让数据更安全！有任何问题可随时咨询在线客服！