我正在计划build立一个应用程序,其中我的用户可以在其上创build帐户,向其他用户发送电子邮件等。该网站也将有论坛,聊天等,它也将需要处理信用卡。 我试图决定哪些部分的网站应该在https中。 现在我想知道是否有任何问题,只有在SSL下的整个网站。
有什么build议么?
build立SSL连接会有一些处理开销,但在现代的盒子和轻负载的网站上可能不会很明显。
如果您有用户发布来自网站外部的图片的论坛,用户将看到一个SSL混合内容警告(您的网站是SSL,但有些资源不是SSL)。 根据你的用户人群,这可能会吓倒一些人。
如果您正在处理信用卡数据,那么也应该阅读相应的标准。 您需要符合PCI-DSS标准。 维基百科有指向适当的文件 。
请注意,使用SSL时有一些折衷。
它会增加开销的沟通,这会让你的网站得到较慢的反应。 此外,您的客户需要有一个SSL证书才能访问您的服务器。
一些重要的,敏感的数据应该被encryption,如login,凭证信息。