代码片段 → HTAccess → 强制使用 HTTPS 强制使用 HTTPS Chris Coyier 于 2015年2月11日 RewriteEngine on RewriteCond %{HTTPS} !on RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 如果您在服务器前面有一个代理执行 TLS 终止 RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
到目前为止,我一直在使用此规则强制使用 HTTPS
有什么优缺点吗?
@Jan,
添加该行甚至更安全,它可以防止降级攻击,有关此主题的更多信息可以在维基百科上找到
http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
以及 Mozilla 的一篇文章
https://mdn.org.cn/en-US/docs/Web/Security/HTTP_strict_transport_security
谢谢 Marcel!
由于 POODLE 攻击,我现在还禁用了 SSL 和 TLS 1.0,所以我想分享一下。
通过 StackExchange
是否有 Apache 配置可以默认通过 https 访问某些文件类型?即图像(jpg、png、gif)、css 和 js。我已经启用了 HTTPS,但任何相对路径都以不安全的方式通过 HTTP 引用这些资产。
在不必硬编码 https://path.to/asset.css 的情况下,将所有资产路径重定向到 HTTPS 的最佳方法是什么?