可以设计和测试没有 SSL 的安全 Web 应用程序吗?

【问题标题】:Is it OK to design and test a secure web app without SSL?可以设计和测试没有 SSL 的安全 Web 应用程序吗?
【发布时间】:2010-06-30 02:28:33
【问题描述】:

我需要构建一个最终需要通过 SSL 启动的小型网络应用程序。

我的问题是,我是否可以像设计和测试普通应用程序一样对其进行设计和测试,然后再添加任何必要的内容以使其安全?或者我必须从一开始就通过 SSL 对其进行测试。

【问题讨论】:

  • 取决于您到底在测试什么。您应该能够在不集成 SSL 的情况下测试大多数东西。
  • @Jamie Wong:这听起来像是一个答案:请将其作为答案发布,以便对其进行正确投票。
  • @S.洛特。我没有这样做的经验,但我有测试网络应用程序的经验,我不明白为什么会有冲突。我认为最好让有实际经验的人回答
  • @Jamie Wong:什么?你的评论听起来像是一个答案。无论您“没有这样做的经验”还是有很多这样做的经验,您的评论听起来都像是一个答案。请张贴答案作为答案。如果是评论,应该澄清问题或回复其他cmets,而不是回答问题。

标签: security web-applications ssl


【解决方案1】:

在您开发应用程序时,您可以等待 SSL。注意不要对任何http:// url 进行硬编码,我认为您的大部分开发工作不会遇到任何问题。只需确保在切换到 SSL 后进行大量测试,然后再上线即可。

【讨论】:

    【解决方案2】:

    您可以使用非 SSL 进行测试,但需要注意一些事项。如果您从第三方站点加载图像或组件(例如验证码),您需要确保可以通过 SSL 调用它们。有时,网络分析软件的跟踪像素也会在这里造成痛苦。

    【讨论】:

      【解决方案3】:

      我的问题是,我是否可以像设计和测试普通应用程序一样对其进行设计和测试,然后才添加确保其安全所需的任何内容?或者我必须从一开始就通过 SSL 对其进行测试。

      如果whatever is necessary to make it secure 你的意思是enable ssl 那么当然,去吧。但是,如果使其安全需要其他东西,例如身份验证、授权、基于角色的访问等等,那么不需要。传统观点是在开发的所有阶段都包含安全性,因为您不能只是在最后“打开它”。除非您在受这些控制限制的情况下实际测试核心功能,并且有机会测试“快乐路径”和通过代码的“不愉快的道路”。

      【讨论】:

        【解决方案4】:

        除了 http url 还要注意端口号,您的 https 流量不会在端口 80 上。

        【讨论】:

          【解决方案5】:

          如果您使用 ajax 调用,则通过您域上的非 https 资源代理您的所有请求。不久前我遇到了一个问题(从非 SSL 页面向 SSL URL 进行 AJAX 调用)。

          【讨论】:

            猜你喜欢
            • 1970-01-01
            • 1970-01-01
            • 1970-01-01
            • 1970-01-01
            • 1970-01-01
            • 1970-01-01
            • 1970-01-01
            • 1970-01-01
            • 2010-09-26
            相关资源
            最近更新 更多
            热门标签
            Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode