对自己无知这件事本身的无知真的挺可怕
认知偏差现象一直存在于我们每个人身上,谁也避免不掉,不过是有的人了解这件事儿,有的人不怎么知道而已,这就产生了「无知而不自知」的认知偏差 。当然,这时候你自己忽悠自己倒没什么,顶多让自己每天感觉自己挺厉害的,沉浸于虚幻的优越感中,以为自己比大多数人都优秀,这倒不是一件什么坏事情,但是,如果你和别人沟通交流中展现出来,那挺可怕的,况且有时候你自己并不知道,达克效应(Dunning-Kruger Effect)描述的就是这种现象 。避免这种现象在自己身上的存在,没什么特殊方法,多学习那些本身就极其优秀的人是怎么思考和生存的,表现出谦逊算其中一种,还有就是多读书 。就这样...
全站 HTTPS 必要准备工作做任何一件事情最好的情况就是你刚好做过,这倒没什么可说的,因为第二次总是要比第一次好 。如果你没做过这件事怎么办?没事,去看看别人怎么做的 。
升级全站 HTTPS 工作在两年前左右应该是讨论最火的了,在2014年底,google Chromium 安全团队提议将所有的 HTTP 协议网站标注为不安全,市场占有率较高的 Chrome 浏览器也是这么做的,所以在接下来一段时间内,各个大厂、大公司都逐步升级了 HTTPS 协议,当然,去年 Apple 也宣布所有应用开发者必须在 2017 年 1 月 1 日之前实现所有的 App 接入安全地服务器,即网络传输协议使用 HTTPS 。所以呢,我们就简单的看一下国内这些顶尖互联网企业如何实现全站 HTTPS 的:
- 淘宝启用全站HTTPS后不仅更安全而且更快 看淘宝是如何做到的
- 百度大型网站的HTTPS实践一:HTTPS协议和原理HTTPS对网站性能seo有哪些影响?大型网站HTTPS实践三:基于协议和配置的优化大型网站的HTTPS实践四:协议层以外的实践
- 让你的网站免费支持 HTTPS 及 Nginx 平滑升级
- 一篇文章让你搞懂 SSL 证书
分析完系统后,其中肯定会存在混合协议访问请求,HTTPS 下浏览器会拦截掉所有 HTTP 请求的,不同页面间跳转、不同服务域名间跳转如果是以固定的 HTTP 协议写死的,要支持全站 HTTPS 协议,首要解决的是以当前协议来灵活的区分不同域名服务间的跳转 。其次,HTTPS 协议首次请求存在多次握手,因此网络耗时变长问题,可能会影响系统访问速度 。所以,我是建议计划分为两个阶段来进行全站 HTTPS 升级:
- 一阶段:将目前所有域名配置为支持 HTTP 和 HTTPS 两种协议,不做 HTTP 请求强制 HTTPS 跳转 。在验证及测试完成 HTTPS 下,系统所有服务以及访问速度均无问题后,进行实施二阶段计划 。
- 二阶段:在上阶段不强制 HTTPS 访问验证通过后,域名做强制 HTTPS 协议 。即当用户以 HTTP 协议访问系统时,如用 Nginx 做强制 301 跳转到 HTTPS 协议,做到全站 HTTPS 安全访问协议 。
十条注意事项1.浏览器拦截混合访问请求由于浏览器安全规则,在 HTTPS 请求下通过 JAVAScript 请求 HTTP 请求或引入 HTTP 协议资源文件,会报“Mixed Content”错误,导致请求无法继续 。
文章插图
Mixed Content: The page at 'https://domain.com/' was loaded over HTTPS, but requested an insecure script 'http://domain.com/'. This request has been blocked; the content must be served over HTTPS.
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 如何理解HTTPS?可以收藏这一篇,足以应付面试!
- BurpSuite抓取HTTPS数据包
- 一分钟搞懂;如何通过nginx将网站访问改为https
- ASP.NET Core和Https
- nginx和tomcat中的https证书配置
- HTTPS 原理看了很多,这个是最清晰的
- php基础知识笔记
- 使用nginx将服务器升级为https
- 何谓 SQL 注入,这个漫画告诉你
- 五分钟搞定 HTTPS 配置,手把手教
