我刚刚从GoDaddy购买了SSL证书,我想将其安装在我的networking服务器上。 但我不希望我的整个网站被SSL覆盖。 我只想要注册页面和login和帐户页面。
我的托pipe公司的一名代表告诉我,SSL是全网站的,除非我购买一个新域名的新网站,否则我将无法做到这一点。 他说创build一个子域名将不起作用,并且会出现错误。
这是真的? 我怎么可能看到很多网站显示正常的http,只有在进入login页面或注册页面时才更改为https。
你的想法是赞赏。 该网站在运行ColdFusion,PHP和ASP的Windows IIS 7.5服务器上运行。
您必须在整个站点范围内激活 SSL,但您应该可以同时打开SSL(tcp / 443)和非SSL(tcp / 80)端口。 这样,如果您的HTML中包含http://的链接,它将转到非安全端口,但是如果您在标记中包含https://则将使用安全端口。
作为一个例子,去www.facebook.com:默认情况下它是不安全的,但如果你看看主页面的HTML,你会发现以下代码片段:
<form method =“POST”action =“https://login.facebook.com/login.php?login_attempt=1”id =“login_form”>
所以,当你input你的账户信息,然后点击“login”,表单被发送到安全版本,但是当你在网站上进行一般浏览时,它是不安全的。
或者,您可以使www.yoursite.com不安全,但拥有一个“accounts.yoursite.com”或“login.yoursite.com”主机名。 然后,您将cookie传递给存储login状态的浏览器。
请注意,如果您的网站的普通网民不安全,那么攻击者可以嗅探stream量并获取cookie并冒充用户。 这是最近Firesheep kerfufle的全部内容:
http://www.google.com/search?q=firesheep http://www.google.com/search?q=cookie+session+security
大部分的答案都是针对具体应用的,而且更多的是面向编程。 简而言之:
如何真正做到这一点将取决于你的应用程序代码。 🙂