我想在用户发送数据(表单、评论等)的页面上为我的网站启用 HTTPS。
仅当页面使用表单时启用它是否有意义,还是全局启用它更容易?
如果不是全局的,我在搜索时是否也需要它?
答案1
您应该全局启用它,否则您将容易受到攻击者修改未加密的表单以将所有用户数据发送到 evilserver.com 而不是您想要的表单的情况的影响(或者,由于攻击者正在主动监听,修改表单操作以使用 HTTP 而不是 HTTPS)。
您可能还会遇到仅在选择性路径上加密的配置难题。通常,加密所有内容会更简单,并且可以防止上述攻击。