开发随着HTTPS的普及,很多应用都需要HTTPS了,在实际开发中,对于HTTPS的应用,我总结了一下一些需要注意的地方,如果不全,欢迎补充。
1. 访问速度
以前大家都不采用HTTPS的原因,除了一个花钱之外,就是嫌弃速度慢了,不过随着浏览器的发展,这个已经不在是一个很大问题了。有人专门做过一个测试,见这里https://www.keycdn.com/blog/https-performance-overhead/
2. 资源加载
在HTTPS的应用里,如果加载了HTTP的请求,不同浏览器的行为有一些不一样。
IE浏览器/FireFox/Safari/Chrome对于script之类的则直接禁止加载,同时地址栏上有个警告提示,图片则能正常浏览。
360浏览器的兼容模式都正常,极速模式和Chrome行为一样。
所以如果在HTTPS应用里,所有的请求都应该是HTTPS链接,我的建议是对于应用内的资源可以采用相对路径,对于外部资源则需要HTTPS。
比如好的做法是采用//地址方法,这样如果是HTTP模式,则加载HTTP资源,HTTPS则加载HTTPS 资源。
HTML里的资源类似这种写法:
HTML: <img src="//cdn.domain.com/logo.png" />
CSS:.class { background: url(//cdn.domain.com/logo.png); }
这并不是什么新鲜玩意,只要符合RFC 1808 Section 4,RFC 2396 Section 5.2,RFC 3986 Section 5.2规范的浏览都支持这种模式,包括IE7和IE8在内,不过需要注意的一点的是,IE7和IE8会下载2次。
可以见这里:http://stackoverflow.com/questions/6785442/browser-support-for-urls-beginning-with-double-slash
3. Cookie
同一的域名下的Cookie是可以区分开来的,默认的是HTTP下Cookie会带到HTTPS下,HTTPS下的Cookie是不会带到HTTP下,如果要2者互通,需要设置Cookie的Secure标记为false。
详细见这里:https://en.wikipedia.org/wiki/HTTP_cookie#HttpOnly_cookie
Java的代码如下:cookie.setSecure(false)
否则的话,你会发现HTTPS写的Cookie,在其他HTTP下面读取不到
4. 开发环境
因为采用HTTPS后,就无法采用fiddler/charles等代理工具用来调试请求,所以最好是应用同时能够支持HTTP模式,这样开发过程中采用HTTP,到了生产环境后就切换到HTTPS。
我的方法是Nginx + HTTP,Nginx部署HTTPS,后端应用只采用http,这样开发也是用HTTP,如果是HTTPS模式,则由Nginx在HTTP HEADER里设置一个变量,标记当前是HTTPS模式。
location / {
proxy_passhttp://127.0.0.1:8080;
proxy_set_header Host $host;
proxy_set_headerX-HTTP-SECURE TRUE;
proxy_set_header X-Real-IP$remote_addr;
proxy_set_header X-Forwarded-For$proxy_add_x_forwarded_for;
}
这样,开发就不需要部署HTTPS证书了,只是在HTTP模式下开发。
5. Java
Java里访问有些HTTPS网站会报错,是因为对方HTTPS的证书(比如证书等级不够)或者配置问题,对于确定可信的网站,可以绕过HTTPS证书。
private static voidtrustAllHttpsCertificates()throwsException {
javax.net.ssl.TrustManager[]trustAllCerts=newjavax.net.ssl.TrustManager[1];
javax.net.ssl.TrustManagertm=newmiTM();
trustAllCerts[0] =tm;
javax.net.ssl.SSLContextsc= javax.net.ssl.SSLContext.getInstance("SSL");
sc.init(null,trustAllCerts,null);
javax.net.ssl.HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
}
如果还有其他,我想到了再补充。