Os recursos ainda devem estar disponíveis em HTTP ou devem ser redirecionados para o HTTPS?

1

Hoje em dia, a maioria dos sites redireciona o tráfego HTTP para HTTPS para solicitações de suas páginas. No entanto, o mesmo não pode ser dito para ativos (imagens, js, css). A maioria dos recursos está disponível em HTTP e HTTPS. Existe algum motivo específico pelo qual o acesso a ativos via HTTP não seja redirecionado, como é o caso das solicitações de páginas? Por que não forçar o HTTPS em todos os lugares?

    
por Denis Pshenov 06.10.2018 / 22:55

2 respostas

2

É verdade que os recursos nas páginas da Web HTTPS também devem ser veiculados por meio do HTTPS, mas há motivos para não forçar o servidor da Web a enviar todas as solicitações para HTTPS para todas as solicitações HTTP recebidas para esse domínio, mas continuar permitindo HTTP Acesso.

  • Como uma falha segura para contratempos de configuração de https
  • Para oferecer suporte a clientes que não têm suporte a https
  • Prefiro deixar a aplicação do HTTPS para ativos dentro de HTML veiculados por HTTPS na Camada de Aplicativo e não tente impor na Camada de Configuração do Servidor

Esta questão confronta as pessoas ao executar o Certbot / Vamos Criptografar ferramentas para criar Certificados Livres SSL HTTPS e configurar o Servidor Web Nginx ou Apache. Os servidores da Web fornecem mecanismos para forçar os clientes que solicitam http a redirecionar para a versão https.

Para uso geral, é provavelmente mais seguro e simples permitir o redirecionamento para https e forçado a usar https. Apenas tenha em mente que há casos que podem exigir um desvio desse padrão.

    
por 07.10.2018 / 22:15
1

Os recursos não devem ser incluídos / referenciados em páginas HTTPS via HTTP. Ou reformulado:

Se você criar um site carregado via HTTPS all , seu conteúdo também deverá ser carregado via HTTPS. Isso inclui CSS, JS, imagens e similares e até mesmo conteúdo remoto não no mesmo domínio.
Se esse não fosse o caso, qualquer navegador moderno informaria ao usuário que o site não estava seguro devido ao uso de conteúdo misto.

Os provedores de website podem considerar não impor a mudança de HTTP para HTTPS nesses elementos quando carregados por conta própria. Isso pode ser um substituto e não impor usuários que usam o site com HTTP desde o início para carregar os ativos via HTTPS. Embora eu não veja como isso pode acontecer, como todos os usuários que acessam o site via HTTP são redirecionados para HTTPS. De qualquer forma ... uma decisão estranha foi tomada, provavelmente durante a fase inicial da adoção do HTTPS, e eles podem ter se atado a essa estranha decisão.

    
por 07.10.2018 / 09:50

Tags