不了解自己真的很可怕。
认知偏差一直存在于每个人的身体里,谁也无法阻止。但有的人掌握了这个东西,有的人却不太了解,导致了“无知无自知”的认知偏差。自然,此刻,你自欺欺人也没什么。最多能让自己每天都觉得自己很强大,沉迷在虚幻的骄傲中,认为自己比大多数人都优秀。这不是一件坏事。但是,如果在和别人的交流中表现出来,还是挺吓人的,更何况有时候自己都不知道。邓宁-克鲁格效应描述了这种情况。
没有什么独特的方法可以阻止这种情况在自己身上的存在。多学习和训练这些本身极其成功的人是如何思考和生存的。谦虚是其中之一,还有一部分是多读书,读好书。就是这样。...
全站HTTPS的必要准备工作
做每件事最大的好处就是你去做。没什么好说的,因为第二次总比第一次好。如果没做过你会怎么做?没事,看看别人是怎么做的。
全站升级HTTPS应该是两年前最热门的讨论了。2014年底,谷歌Chromium的安全精英团队建议将所有HTTP协议网址标记为不安全,市场占有率较高的Chrome电脑浏览器也是这么做的。因此,在接下来的一段时间里,各大工厂和企业都逐步升级了HTTPS协议。自然,去年苹果也宣布所有应用开发者必须在2017年1月1日前完成所有App连接到安全web服务器,也就是数据传输协议应用HTTPS。那么,我们就来简单看看中国这样的顶级互联网公司是如何完成HTTPS的全站:
淘宝网
全站开通HTTPS后,不仅更安全,而且更快,看淘宝怎么保障。
百度搜索
商业网站HTTPS实践活动1:HTTPS协议和基本原则
HTTPS对URL特征SEO有什么危害?
商业网站HTTPS实践活动3:根据协议和设备进行改进
商业网站HTTPS实践活动4:协议层之外的实践活动
看完这篇文章的内容,也许你就能知道如何购买SSL资格证了,你也可以购买SSL资格证。其实不管是申请各云服务器商店完全免费的单一域名证书,还是业务流程更强的泛域名资质证书和OV资质证书,我写的这些文章内容你也一定要看(好无耻...):
申请HTTPS和Nginx平滑升级到您的免费网站。
一篇文章给你一个SSL资格证的概念。
分析所有系统软件并制定计划。
有计划才有变化。其实没什么可做的,只有一件事。接下来你唯一需要做的就是掌握所有的系统软件。分析所有采用的网站域名,必须购买什么样的域名证书,是二级域名、三级域名还是各种乱七八糟的网站域名,自己分析;然后,掌握每个网站域名背后的服务项目是如何运行的,这将涉及到前端开发网页和一些资源文档的固定协议的引入,后端开发编码中相关协议的获取是死的还是动态的,数据库查询中存储的URL链接这些,这些都要充分考虑。
经过对系统软件的分析,毫无疑问里面会有混合协议浏览请求。在HTTPS下,电脑浏览器会屏蔽所有HTTP请求。如果把不同网页的页面之间的跳转和不同服务项目的网站域名之间的跳转写在一个固定的HTTP协议中,就需要应用全站的HTTPS协议,主要处理不同域名服务之间的跳转,目前的协议是方便的。其次,HTTPS协议的初始请求有几波,所以上网时间长,很可能危及系统软件网站的打开速度。因此,我建议计划分两个阶段对整个车站进行HTTPS升级:
一个链接:现阶段所有网站域名都配有HTTP和HTTPS协议,强制HTTPS跳转不需要HTTP请求。在HTTPS认证检测下,系统软件的所有服务项目和网站打开速度没有问题后,分两步走。
链接二:前一个链接中非强制HTTPS浏览验证成功后,网站域名将为强制HTTPS协议。即客户用HTTP协议浏览系统软件时,如果Nginx作为强制301跳转到HTTPS协议,则可以保证全站的HTTPS浏览协议。
如果可能的话,按照两步走的计划,应该可以适当的进行全站的HTTPS升级。期间自然难免会踩一些坑。由于各公司业务不同,系统软件自然环境不同,会遇到意想不到的问题,一个一个处理就够了。下面,我就写一下大家在升级期间必踩的相关坑,以及如何解决这个问题。
十个常见问题
1。计算机浏览器阻止混合浏览请求
由于电脑浏览器的安全标准,在HTTPS请求下请求HTTP请求或根据JavaScript导入HTTP协议资源文档会报告“混合内容”不正确,导致请求无法重复。
混合内容:“https://domain.com/”处的页面是通过https加载的,但请求了不安全的脚本“http://domain.com/”。此请求已被阻止;内容必须通过HTTPS提供。
2。前端开发HTML和JS资源导入并存储在HTTP中
在前端网页和js文档中,死的http://协议资源和跳转都改为按照当前协议(//)进行转换。
应用相关性协议,例如:
<scriptsrc="//domain.com/jquery.js<;/script>;
<imgsrc="//domain.com/img/logo.png"><imgsrc="//domain.com/img/logo.png">;
或者编码可以独立解决。如果一个网页包含多个对网站域名的请求,那么所有的网站域名都应该是https,否则一些电脑浏览器会出现警告或者打不开。
3。移动终端适应HTTPS
如果每个人都有一个必须与HTTPS兼容的移动应用程序,则有必要做出相应的更改来启用该套接字。自然,需要注意的是,劫持运营商的DNS(尤其是move)也会对HTTPS请求通过率造成很大的伤害。其实两种HTTP/HTTPS协议都可以很好的应用,需要做好出现问题时随时随地动态降级转换的准备。
4。新项目中的设备问题
新项目采用的环境变量中有HTTP连接,要充分把握其主要用途。如果不是可以动态更新的环境变量,就要考虑变更后服务项的公告。这时就要考虑对自然环境业务流程形成的危害、检测开发工具的危害等问题。如页面跳转、管理权限、登录认证、第三方服务(支付、消息推送)回调功能。
5。关于request.getScheme()的坑
如果你的架构应用了NginxTomcat集群,Nginx下配备了SSL,但是Tomcat没有配备SSL,其实手机客户端此刻已经应用了HTTPS协议,但是如果你的Tomcat选择了request.getScheme()和request.getRequestURL(),那么得到的是HTTP,而不是HTTPS。当然也可以在编码中防止,或者按照Nginx和Tomcat处理。见这篇文章:http://www.cnblogs.com/interdrp/p/4881785.html.
6。SSL资格证书的类型
以往在购买SSL资质证书时,需要考虑网站域名在业务流程中必需的资质证书类型,防止出现泛域名资质证书的需要。但如果买的是单域证书,自然泛域资格证书还是分适用等级的。例如,如果您购买*.example.com资格证书,该资格证书适用于example.com。a1.example.com和a2.example.com的网站域名相似,但不兼容b.a.example.com(另一级)和b1.a.example.com域名。如果适用,您需要购买另一份*.a.example.com资格证书。
7。Nginx配备了相同的服务器段,与多个资质证书不兼容
8。Nginx配备了HTTP强制跳转HTTPS
根据Nginx网站域名HTTP请求302完成HTTPS全站跳转。永远不要发布请求。这时电脑浏览器会先跳转到302,用Get请求会造成帖子正文的丢失。
实际配备如下:
服务器{
听80;
监听443ssl
服务器名www.domain.com;
ssl打开;
SSL_certificate1_www.domain.com_bundle.CRT;
SSL_certificate_key2_www.domain.com.key;
ssl_session_timeout5m
SSL_protocolsTLSv1TLSv1.1TLSv1.2;
SSL_ciphersECDhe-RSA-AES128-GCM-sha256:高:!阿努尔:MD5:!RC4:!DHE;
ssl_prefer_server_cipherson
如果($方案!='https'){
重写^(.*)$https://$server_name永久;
}
位置/{
根html
索引index.htmlindex.htm;
}
}
9。所有的自然环境都应该升级
不仅要考虑形成自然环境升级全站HTTPS的问题,还要升级包括开发、设计、测试、预发布等各种自然环境。保持与工作环境的一致性,减少不可预测因素的产生。如果你没有健全的运维体系,环境变量一个一个的变,但是真的很痛苦,可以试着回100多的设备,泪。...
10。击败你意想不到的领域
太过分了。充分发挥。确保出拳有道,佛要砍佛,魔要砍魔。
FAQ已经写好了,现在发布一个硬广告。在这个阶段,所有的精英团队都要和在技术上追求完美的朋友一起学习,一起发展。看到这篇文章,任何一个想要改变一个办公环境的人,自然都需要一个分布式架构的基础知识。请尽快联系我。
总结一下
不清楚这篇文章是不是一篇平实的“干货知识”。现在很多人都在呼吁平淡的干货知识。其实干货知识就这么多。本文介绍了全站升级HTTPS的全过程及注意事项。基本上都是具体工作过程的再现。自然,升级的时候还是要检查所有系统软件的特性和速度,如何更强的使用HTTPS,比如HTTP2.0。听说提升非常大。
我期待对你有所帮助。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)