为了加快网页加载速度,我建议从 HTTP1.1 切换到 HTTP/2 协议。就在今天,根据我自 HTTP/2 兴起以来的经验,我第一次听到不切换到 HTTP/2 的理由是
HTTP/2 不够安全,并且存在严重的安全问题,因此任何速度提升都不值得。
作为那些想法的来源,我已经本文。
我所掌握的信息不足以让我判断本文中提到的风险有多大。我可以假设,这些风险来自非常罕见的性质 - 这只是基于我自己对有关网站性能的特殊媒体的监控而做出的猜测,这些媒体可能(非常)不实。
有人可以解释一下我吗:
- HTTP/2 的安全问题总体是怎样的?
- 这些问题是否足以成为不切换到 HTTP/2 的理由?
答案1
HTTP2 是新协议,因此可能存在安全问题。这更有可能与糟糕的实施有关,而不是与协议本身有关。
HTTP/1.1 已经过时,而且经过了实战检验。尽管如此,它肯定存在问题。其中一些是协议中的漏洞(例如,由于基于文本而不是二进制,因此可以使用HTTP 标头拆分/标头走私欺骗网络服务器)以及更多其他的攻击都归功于实现。
所以我想说,两者都不安全。网上的东西都不安全。走出家门也不安全 :-)
我认为安全问题不是推迟升级到 HTTP/2 的原因,而且在许多方面(见上文示例)它比 HTTP/1.1 更安全。HTTP/2 的主要目标是提高性能而不是安全性。