目前,我有一个提供大量混合内容的网站,我将整个网站置于其中ssl。
example.com所有静态内容,例如css js以及少量我自己的内容images,例如徽标等
然而,我的平台从外部域中提取了大量图像,cdn.example.net但这些图像中只有ssl一小部分是我无法访问的,这导致我的网站发出混合内容警告。
全站浏览的危险是什么?ssl我是否面临某些用户无法看到所有内容的风险,因为他们的浏览器认为它不安全?我也在使用spdy,nginx我想保持速度提升,有什么解决方法可以解决此问题吗?
答案1
当您使用 https 时,您向用户保证了您的网站和客户端设备之间的连接是加密的,这确保了任何在互联网上嗅探数据包的人在连接到您的网站时都只能看到加密的乱码(他们看不到您或客户端)现在,当您将 css 字体、图像等的 http 内容混入其中时,您就违反了该协议——这会导致(取决于安全设置)向用户发出一个大警告,让他们知道——这个人声称使用 https,但实际上他不是,他可能想利用您,如果客户端决定感染 http 内容,地址栏中的“https”上就会出现一个大红叉,但通常会忽略 http 内容以试图让您遵守协议,然后您会丢失网站的图像和样式——这对用户和您的网站来说都是一次非常糟糕的体验。强制外部域使用 SSL,或者如果可以的话,将图像保存在本地,以便您自己的服务器可以加密它们,如果 CSS 使用来自谷歌的字体元素,只需将 url 更改为 https 就可以了。
答案2
没有 SSL 意味着,除其他事项外,您很容易受到中间人攻击,因为所有数据都将在未加密的情况下发送。您也不会拥有证书,我不建议任何人不运行https其网站的某个版本,因为末日http://应该离我们并不遥远。
答案3
首先我建议你检查你的网站为什么没有挂锁工具。此工具将帮助您识别网站上所有不安全的内容。如果您的网站在网络浏览器中遇到警告消息,则跳出率可能会更高。
除了解决它之外,没有其他方法可以摆脱此类警告消息。不要使用第三方平台来存储文件(如果您使用的话),而应该将所有文件托管在您的域上(该域受 SSL 保护)。如果您仍想在您的网站上共享第三方文件,请上传到您自己的网络并给他们一个引用。