问题标签 [https]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - Rails SSL Requirement 插件——它不应该在重定向到 https 之前检查您是否处于生产模式吗?
它不应该检查您是否处于生产模式吗?我们在开发模式下看到重定向到 https,这看起来很奇怪。或者这是插件的正常行为?我认为它在过去的表现有所不同。
apache - 如何建立一个现成的 https 到 http 网关?
我有一个 HTTP 服务器,它位于我们的内部网络中,只能从它内部访问。我想放置另一台服务器来侦听可从外部访问的 HTTPS 端口,并将请求转发到该 HTTP 服务器(并通过 HTTPS 发回响应)。我知道有几种方法可以通过涉及一些编程来做到这一点(我自己用 Tomcat 和我编写的一个非常简单的 servlet 做了一个临时解决方案),但是有没有办法做同样的事情只是插入已经制作的部件(比如 Apache + 模块)?
ssl - 在嵌入式壁虎浏览器中阻止 https url
我有一个嵌入壁虎浏览器的应用程序。当我尝试访问任何 https url 时应用程序崩溃,因为此时 nss 未正确初始化。崩溃发生在 PK11_TokenExists() 中。我想阻止我的浏览器呈现 https 网站。如果用户单击 https 链接,我可以在 nsIURIContentListener 的 OnStartURI() 中阻止该加载。但如果用户输入说 orkut.com,我不会在 OnStartURI() 中知道它是 http url 还是 https 的(即它是否将使用 SSL 与否)。我想知道在这种情况下如何阻止 https url?
感谢 jbsp72
java - 您将如何在 Java 中实现安全的静态登录凭据系统?
我们最近进行了一次安全审计,它暴露了这里现有系统中的几个弱点。由此产生的任务之一是我们需要更新我们的合作伙伴凭据系统,使其更加安全。
“旧”的做事方式是生成一个(错误的)密码,将其提供给具有 ID 的合作伙伴,然后他们将通过 https 发送该 ID 和该密码的 Base 64 编码副本以及他们的所有 XML 请求. 然后我们对它们进行解码并验证它们。
这些密码不会改变(因为我们的合作伙伴必须进行编码/配置更改才能更改它们,并且与数百个合作伙伴针对多个环境协调密码到期将是一场噩梦),并且它们不必由人类输入或人类可读的。如果我们的合作伙伴有更好但仍然相对简单的实施,我愿意改变这一点。
基本上它归结为两件事:我需要一个更安全的 Java 密码生成系统,并确保它们以安全的方式传输。
我发现了一些手动密码生成器,但没有什么能真正突出作为执行此操作的标准方法(也许有充分的理由)。可能还有一种比通过 https 进行简单 Base 64 编码更安全的方式来传输它们。
您会为密码生成器做什么,您认为现有的传输方法是否足够安全?
编辑:XML 来自 SOAP 消息,凭据位于标头中,而不是 XML 本身。此外,由于在设置密码时,每个合作伙伴的密码都是一次性操作,因此我们不太担心生成器的效率。
performance - 您应该在哪里启用 SSL?
我最近的几个项目涉及销售产品/服务并需要“结帐”过程的网站,用户在该过程中输入他们的信用卡信息等。显然,我们获得了 SSL 证书,以确保它的安全性,并让客户放心。然而,我对它的微妙之处有点不知所措,最重要的是网站的哪些部分应该“使用”证书。
例如,我去过一些网站,当你点击主页时,你就会被放入 https - 主要是银行网站 - 然后有些网站只有在你最终结账时才会被放入 https。如果它不处理银行级别的事情,那么让整个网站通过 https 运行是不是有点矫枉过正?我应该只将结帐页面设为 https 吗?全力以赴会有什么表现?
servlets - 在 Websphere 6.1 中强制使用 Https
我想知道如何强制使用 Http 请求页面的用户使用安全的 https 版本?
我使用 Websphere 6.1 作为我的应用程序服务器,使用 Rad 7 作为我的开发环境
谢谢达米安
security - 禁用 HTTPS 的通用名称检查的安全隐患
我正在查看我为通过 HTTPS 进行安全通信而继承的一些客户端代码,它似乎没有检查服务器证书中的公用名(例如,'CN = "example.com"' 与实际 URL被请求。这可能是故意的,因为我们的客户端应用程序需要与各种环境对话,因此在联系初始门户(例如 example.com/main)并且用户选择环境后,应用程序将被重定向到特定 IP,所以所有未来的请求看起来都像“ http://127.0.0.1/page ”。
但是,作为 SSL 新手,我不确定禁用此检查的含义。我的第一反应是执行某种中间人攻击会更容易,因为其他人可以复制我们的证书并假装是我们的服务器之一。但是,如果我们进行通用名称检查,那么无论如何您都可以使用自定义 DNS 设置来做同样的事情,所以它似乎并没有真正为我们带来任何好处。是否还有其他攻击让我们敞开心扉,否则我们不会受到攻击?
谢谢
java - 使用 https 协议使用 Webservice
我想从 Java 客户端通过 https 使用 Web 服务。为了做到这一点,我需要采取哪些步骤?
php - 是否可以使用 jQuery 加密 AJAX 调用以进行身份验证?
我对 AJAX 方法相当陌生(不久前我才发现jQuery)。我很想知道是否有在 PHP 设置上验证用户的方法;安全地。
jQuery 是否有任何特殊选项允许使用 HTTPS(或任何其他方式来加密我的 ajax 调用)?
是的,我可以很好地将数据发布回服务器,但这会破坏乐趣。:)
performance - HTTP 与 HTTPS 性能
http 和 https 在性能上是否有任何重大差异?我似乎记得读过 HTTPS 可以是 HTTP 的五分之一。这对当前一代的网络服务器/浏览器有效吗?如果是这样,是否有任何白皮书支持它?