我不想让黑客有任何机会看到我在域之外的 URI 中放置的内容。例如,
http://www.mynewwebsite.com/(一些文字或网页.html)
在上面,我想让'(一些文本或webpage.html)'安全
现在我对两种方法感到困惑。
1) 我是否应该添加一个自定义 http 标头,其值为“(某些文本或网页.html)”,并且在服务器上,我读取标头以解决请求。
2) 我应该直接切换到 https 吗?
各有什么优缺点? (忘记使用 https 需要支付的额外费用)
提前致谢。
【问题讨论】:
标签: apache http https http-headers
如果您不希望黑客嗅探您的网络并读取请求参数,则切换到 https 是一种简单的解决方案
【讨论】:
使用 HTTPS,请求和标头是加密的,这应该可以根据您的要求防止窥探。根据您的设置,使用Let's Encrypt 可以免费获得 SSL 证书。
如果您只是将自定义标头添加到 HTTP 请求中,您可能会隐藏您的意图,但第三方仍然可以访问数据。
【讨论】:
1) 我是否应该添加一个自定义 http 标头,其值为 "(some text or 网页.html)”,然后在服务器上,我阅读了标题以解决 请求。
我认为您误解了 http 的工作原理。标头内容在正文内容之前发送。黑客可以简单地读取整个流并只关注标题以提取信息。
2) 我应该直接切换到 https 吗?
如果您要进行用户身份验证或想要保密,则必须(对我而言)切换到 HTTPS。它对信息进行加密,因此非预期的接收者无法理解。接收者必须使用他们的私钥来决定该信息。
您有许多 SSL 选项。
让我们加密 它是最大的免费 ssl 证书提供商。但是他们的证书只有 3 个月的寿命,所以你需要不时更新它。也许您可以查找
cron工作并使用它来检查我们的加密服务器并在到期日期临近时更新。
其他付费 SSL 提供商 尽管两者在加密级别上没有区别。但是,两者之间的突出特点是允许加密尚未拥有的是 *.yoururl.com 上的通配符 ssl。这不仅为整个子域提供了一个 URL,而且在发生违规时,保险将承担损失。
【讨论】:
HTTPS 沿从 A 点到 B 点的路线对您的有效负载(包括通过 SSL/TLS 的标头和 URL)进行加密,防止黑客在这两点之间截获您的数据时看到您的数据。这是实现您所寻求的安全性的唯一方法。
但是,如果潜在的黑客合法地位于 B 点,HTTPS 将无法帮助您。无论信息是隐藏在标题中还是 URL 的一部分中,它都是可见的。任何人都可以看到标题。如果您想对最终用户隐藏特定信息,请手动对其进行加密。
【讨论】: