【皇家赌场手机版】的一部分经验分享,安全之内容安全计谋

让浏览器不再显得 https 页面中的 http 须要警报

2015/08/26 · 基本功工夫 ·
HTTPS,
浏览器

原稿出处:
李靖(@Barret李靖)   

HTTPS 是 HTTP over Secure Socket Layer,以安全为指标的 HTTP 通道,所以在
HTTPS 承载的页面上不允许出现 http 央浼,一旦出现正是引玉之砖或报错:

Mixed Content: The page at ‘‘ was loaded over
HTTPS, but requested an insecure image ‘’.
This content should also be served over HTTPS.

HTTPS改动之后,大家得以在点不清页面中看看如下警报:

皇家赌场手机版 1

数不胜数运维对 https 未有技巧概念,在填写的数目中难免出现 http
的能源,体系强大,出现马虎和漏洞也是不可转败为胜的。

摘要

此时此刻有过多的恶心攻击皆以以网址及其用户作为靶子,本文将简介在 Web
服务器一侧的安全加固和测量检验方法。

攻击方式 防护方式 说明
点击劫持(clickjacking) X-Frame-Options Header —–
基于 SSL 的中间人攻击(SSL Man-in-the-middle) HTTP Strict Transport Security —–
跨站脚本(Cross-site scripting,XSS) X-XSS-Protection、Content-Security-Policy、X-Content-Type-Options —–

关于启用 HTTPS 的部分经历分享

2015/12/04 · 基本功本事 ·
HTTP,
HTTPS

【皇家赌场手机版】的一部分经验分享,安全之内容安全计谋。原稿出处:
imququ(@屈光宇)   

随着国内互连网情状的缕缕恶化,各个篡改和绑架熟视无睹,更加多的网址精选了全站
HTTPS。就在昨天,无偿提供申明服务的 Let’s
Encrypt 项目也正式开放,HTTPS 非常的慢就能够化为
WEB 必选项。HTTPS 通过 TLS
层和证书机制提供了内容加密、身份验证和数据完整性三大遵循,能够有效防守数据被翻动或歪曲,以及幸免中间人冒充。本文分享部分启用
HTTPS 进度中的经验,注重是哪些与一些新出的铁岭专门的学问同盟使用。至于 HTTPS
的配置及优化,以前写过无数,本文不重复了。

剧情安全战术 (CSP, Content Security Policy)
是二个附加的安全层,用于支援质量评定和化解某个项指标口诛笔伐,包罗跨站脚本攻击
(XSS) 和多少注入等攻击。

CSP设置upgrade-insecure-requests

幸而 W3C 专门的职业组思量到了大家升级 HTTPS 的困顿,在 二〇一五 年 十月份就出了贰个 Upgrade Insecure Requests 的草案【皇家赌场手机版】的一部分经验分享,安全之内容安全计谋。,他的成效正是让浏览器自动晋级伏乞。

在我们服务器的响应头中加入:

header(“Content-Security-Policy: upgrade-insecure-requests”);

1
header("Content-Security-Policy: upgrade-insecure-requests");

我们的页面是 https 的,而以此页面中含有了大量的 http
能源(图片、iframe等),页面一旦发掘存在上述响应头,会在加载 http
能源时自动替换到 https 央求。能够查看 google
提供的贰个 demo:

皇家赌场手机版 2

而是令人不解的是,这么些财富发出了一遍呼吁,估算是浏览器完结的 bug:

皇家赌场手机版 3

自然,假设大家不低价在服务器/Nginx
上操作,也能够在页面中进入 meta 头:

XHTML

<meta http-equiv=”Content-Security-Policy”
content=”upgrade-insecure-requests” />

1
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

时下支撑这几个装置的还独有 chrome 43.0,不过笔者深信,CSP 将成为今后 web
前端安全努力关心和平运动用的内容。而 upgrade-insecure-requests 草案也会非常的慢步向福特ExplorerFC 形式。

皇家赌场手机版,从 W3C
工作组给出的 example,能够看看,这么些装置不会对别国的
a 链接做管理,所以能够放心使用。

1 赞 收藏
评论

皇家赌场手机版 4

点击劫持(Clickjacking)

点击威逼,clickjacking
是一种在网页师长恶意代码等掩盖在近似无害的剧情(如开关)之下,并引诱顾客点击的手法,又被称为界面伪装(UI
redressing)。举个例子顾客抽取一封包蕴一段录制的电子邮件,但里面包车型地铁“播放”按键并不会真的播放录制,而是被诈骗步入二个购物网站。

皇家赌场手机版 5

本着点击威逼攻击,盛开Web应用程序安全项目(Open Web Application Security
Project
,OWASP)(非营利组织,其目标是支援个人、集团和单位来开采和动用可依赖软件)
提供了一份带领,《Defending_with_X-Frame-Options_Response_Headers》

X-Frame-Options HTTP 响应头是用来给浏览器提醒允许三个页面可不可以在 frame
标签 只怕 object
标签中表现的旗号。网址能够使用此效率,来保险自个儿网址的内容从未被嵌到旁人的网站中去,也为此制止了点击威逼(clickjacking) 的口诛笔伐。DENY:表示该页面不允许在 frame
中呈现,纵然是在同样域名的页面中嵌套也不容许。SAMEO奥德赛IGIN:表示该页面能够在同一域名页面的frame 中体现。ALLOW-FROM uri:表示该页面可以在钦赐来源的 frame
中显得。配置如下:

//HAProxy
http-response set-header X-Frame-Options:DENY
//Nginx
add_header X-Frame-Options "DENY";
//Java
response.addHeader("x-frame-options","DENY");

理解 Mixed Content

HTTPS 网页中加载的 HTTP 财富被称作 Mixed
Content(混合内容),差别浏览器对 Mixed Content 有不均等的管理法则。

这个攻击可用于贯彻从数量窃取到网址破坏或当作恶意软件分发版本等用途。内容安全攻略在现世浏览器中曾经包蕴,使用的是
W3C CSP 1.0 标准中陈说的 Content-Security-Policy 底部和指令。

跨站脚本 Cross-site scripting (XSS)

跨站脚本常常指的是因而选拔开采时预留的漏洞,注入恶意指令代码(JavaScript/Java/VBScript/ActiveX/Flash/HTML等)到网页,使顾客加载并奉行攻击者恶意创设的次序。攻击者只怕获取更加高的权力、私密网页、会话和cookie等各样内容。方今有三种分化的
HTTP 响应头能够用来堤防 XSS 攻击,它们是:

  • X-XSS-Protection
  • Content-Security-Policy

早期的 IE

早先时期的 IE 在开采 Mixed Content
央求时,会弹出「是还是不是只查看安全传送的网页内容?」那样八个模态对话框,一旦客户挑选「是」,全体Mixed Content 财富都不会加载;选择「否」,全部财富都加载。

那正是说如何选拔?

CSP 能够由三种方法钦命:HTTP Header 和 HTML。HTTP 是在 HTTP 由扩充Header 来内定,而 HTML 品级则由 Meta 标签钦点。

CSP 有两类:Content-Security-Policy 和
Content-Security-Policy-Report-Only。(大小写非亲非故)

HTTP header :
"Content-Security-Policy:" 策略
"Content-Security-Policy-Report-Only:" 策略

HTTP Content-Security-Policy
头能够内定三个或五个资源是平安的,而Content-Security-Policy-Report-Only则是允许服务器检查(非强制)五个宗旨。几个头的宗旨定义由预先使用最先定义的。

HTML Meta :
<meta http-equiv="content-security-policy" content="策略">
<meta http-equiv="content-security-policy-report-only" content="策略">

Meta 标签与 HTTP 头只是行式分化而效果是一致的。与 HTTP
头一样,优用最初定义的安排。要是 HTTP 头与 Meta
定义同不常候设有,则先行接纳 HTTP 中的定义。

若果客户浏览器已经为日前文书档案推行了一个 CSP 的攻略,则会跳过 Meta
的定义。若是 META 标签缺少 content 属性也同样会跳过。

针对开拓者草案中等职业学校门的升迁一点:为了选取政策生效,应该将 Meta
成分头放在早先地方,以幸免升高人为的 CSP 计策注入。

今天,三种化的抨击手腕无独有偶,古板安全应用方案特别难以应对网络安全攻击。OneASP&utm_campaign=AspRaspArti&from=jswgiardnp)
自适应安全平台合併了展望、防守、检验和响应的技巧,为你提供精准、持续、可视化的安全卫戍。想阅读更加多本事小说,请访谈
OneAPM
官方本领博客&utm_campaign=AspRaspArti&from=jswgiardnp)

本文转自 OneAPM 官方博客

X-XSS-Protection

HTTP X-XSS-Protection 响应头是Internet
Explorer,Chrome和Safari的多个成效,当检测到跨站脚本攻击
(XSS)时,浏览器将截至加载页面。配置选项:0 禁止XSS过滤。1
启用XSS过滤(平日浏览器是私下认可的)。
假若检验到跨站脚本攻击,浏览器将免去页面(删除不安全的局地)。mode=block
启用XSS过滤,
如若检查实验到攻击,浏览器将不会免去页面,而是阻止页面加载。report=reporting-UCRUISERI
启用XSS过滤。 若是检查实验到跨站脚本攻击,浏览器将免去页面并采纳 CSP
report-uri 指令的功力发送违规报告。参谋小说《The misunderstood
X-XSS-Protection》:

//HAProxy
http-response set-header X-XSS-Protection: 1;mode=block
//Nginx
add_header X-Xss-Protection "1; mode=block" always;;

浏览器帮忙情状:

Chrome Edge Firefox Internet Explorer Opera Safari
(Yes) (Yes) No 8.0 (Yes) (Yes)

正如新的 IE

正如新的 IE
将模态对话框改为页面尾部的提醒条,未有前边那么搅扰顾客。并且默许会加载图片类
Mixed Content,别的如 JavaScript、CSS
等能源依然会基于客户选取来支配是不是加载。

Content-Security-Policy

内容安全性政策(Content Security
Policy,CSP)正是一种白名单制度,明显告知顾客端哪些外部财富(脚本/图片/音摄像等)能够加载和进行。浏览器能够拒绝任何不出自预订义地方的别的内容,进而防止外界注入的本子和别的此类恶意内容。设置
Content-Security-Policy Header:

//HAProxy:
http-response set-header Content-Security-Policy:script-src https://www.google-analytics.com;https://q.quora.com
//Nginx
add_header Content-Security-Policy-Report-Only "script-src https://www.google-analytics.com https://q.quora.com";

今世浏览器

今世浏览器(Chrome、Firefox、Safari、Microsoft Edge),基本上都遵循了
W3C 的 Mixed Content 规范,将
Mixed Content 分为Optionally-blockable 和 Blockable 两类:

Optionally-blockable 类 Mixed Content
富含这些危险相当的小,固然被中间人歪曲也无大碍的财富。今世浏览器暗中同意会加载那类财富,同期会在调节台打字与印刷警告信息。那类能源富含:

  • 通过 <img> 标签加载的图形(包含 SVG 图片);
  • 通过 <video> / <audio> 和 <source> 标签加载的录制或音频;
  • 预读的(Prefetched)资源;

除开全部的 Mixed Content
都以 Blockable,浏览器必得禁止加载那类能源。所以今世浏览器中,对于
HTTPS 页面中的 JavaScript、CSS 等 HTTP
能源,一律不加载,间接在调整台打字与印刷错误新闻。

MIME-Sniffing

MIME-Sniffing(重借使Internet Explorer)使用的一种技艺,它尝试估量财富的
MIME 类型(也叫做 Content-Type 内容类型)。那表示浏览器能够忽略由 Web
服务器发送的 Content-Type
Header,并非尝试分析财富(例如将纯文本标志为HTML
标签),依据它感觉的能源(HTML)渲染能源并不是服务器的定义(文本)。尽管那是三个老大实用的效果,能够改良服务器发送的荒唐的
Content-Type,但是心怀不轨的人方可私行滥用这一特色,那使得浏览器和顾客也许被恶心攻击。举例,如通过精心制作二个图像文件,并在内部嵌入能够被浏览器所展现和进行的HTML和t代码。《Microsoft
Developer Network:IE8 Security Part V: Comprehensive
Protection》:

Consider, for instance, the case of a picture-sharing web service
which hosts pictures uploaded by anonymous users. An attacker could
upload a specially crafted JPEG file that contained script content,
and then send a link to the file to unsuspecting victims. When the
victims visited the server, the malicious file would be downloaded,
the script would be detected, and it would run in the context of the
picture-sharing site. This script could then steal the victim’s
cookies, generate a phony page, etc.

//HAProxy
http-response set-header X-Content-Type-Options: nosniff
//Nginx
add_header X-Content-Type-Options "nosniff" always;

移步浏览器

方今所说都是桌面浏览器的展现,移动端处境相比较复杂,当前非常多移动浏览器私下认可都允许加载
Mixed Content。也正是说,对于活动浏览器来讲,HTTPS 中的 HTTP
能源,无论是图片照旧 JavaScript、CSS,私下认可都会加载。

一般选取了全站 HTTPS,将要幸免出现 Mixed Content,页面所有能源供给都走
HTTPS 合同才具保证具备平台具备浏览器下都并未有有失常态态。

SSL Strip Man-in-The-Middle Attack

个中人抨击中攻击者与报导的双方分别制造独立的交换,并沟通其所接收的数据,使通信的双边以为她们正在通过四个私密的接连与对方直接对话,但实际整个会话都被攻击者完全调节。举个例子,在三个未加密的Wi-Fi
有线接入点的收受范围内的中档人攻击者,可以将团结作为壹在那之中级人插入这么些互连网。强制客商采纳HTTP严刻传输安全(HTTP
Strict Transport
Security,HSTS)。 HSTS 是一套由
IETF
发布的互连网安全战术机制。Chrome 和 Firefox 浏览器有三个停放的 HSTS
的主机列表,网址可以选取使用 HSTS 计策强制浏览器选拔 HTTPS
合同与网址举办通信,以减小会话威吓危害。

皇家赌场手机版 6

服务器设置下列选项能够强制全数客商端只好通过 HTTPS 连接:

//HAProxy
http-response set-header Strict-Transport-Security max-age=31536000;includeSubDomains;preload
//Nginx
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload; always;'

成立运用 CSP

CSP,全称是 Content Security
Policy,它有不行多的命令,用来贯彻丰富多彩与页面内容安全有关的效劳。这里只介绍三个与
HTTPS 相关的通令,越来越多内容能够看自身事先写的《Content Security Policy
Level 2
介绍》。

暴露 URL (HTTPS > HTTP Sites)

Referrer
新闻被大面积用于网络访谈流量来源分析,它是贪猥无厌网址数据总结服务的功底,比如
Google Analytics 和
AWStats,基于Perl的开源日志剖析工具。同样的这一性情也会很容易被恶意使用,变成客商敏感音信走漏,例如将客商SESSION ID 放在 U劲客L 中,第三方得到就或然看到人家登入后的页面内容。2015年,W3C 公布了 Referrer Policy 的新草案,开辟者伊始有权决定本人网站的
Referrer Policy。但是唯有 Chrome/Firefox
浏览器较新的版本的能够提供支撑。

Feature Chrome Firefox Edge、Internet Explorer、 Opera、Safari
Basic Support 56.0 50.0 (No)
same-origin (No)1 52.0 (No)
strict-origin (No)1 52.0 (No)
strict-origin-when-cross-origin (No)1 52.0 (No)

Referrer-Policy选项列表:

  • Referrer-Policy: no-referrer //整个 Referer
    首部会被移除。访问来源音信不趁着需要一同发送。
  • Referrer-Policy: no-referrer-when-downgrade //默许选项
    //援用页面包车型大巴地点会被发送(HTTPS->HTTPS),降级的动静不会被发送
    (HTTPS->HTTP)
  • Referrer-Policy: origin //在任何动静下,仅发送文书的源作为引用地址
  • Referrer-Policy: origin-when-cross-origin
    //对于同源的乞请,会发送完整的UENVISIONL作为援用地址,但是对于非同源诉求仅发送文书的源
  • Referrer-Policy: same-origin
    //对于同源的哀告会发送引用地址,可是对于非同源央求则不发送援引地址音讯。
  • Referrer-Policy: strict-origin
    //在同等安全级其他情状下,发送文书的源作为援用地址(HTTPS->HTTPS)
  • Referrer-Policy: strict-origin-when-cross-origin
    //对于同源的央求,会发送完整的UEvoqueL作为援引地址
  • Referrer-Policy: unsafe-url //无论是或不是同源恳求,都发送完整的
    U奇骏L(移除参数音讯之后)作为援引地址。

小编们不可能不保证顾客从全 HTTPS 站点跳转到 HTTP
站点的时候,未有中间人能够嗅探出客户实际的 HTTPS ULacrosseL,Referrer Policy
设置如下:

//HAProxy
http-response set-header Referrer-Policy no-referrer-when-downgrade
//Nginx
add_header Referrer-Policy: no-referrer-when-downgrade
Source Destination Referrer (Policy :no-referrer-when-downgrade)
https://test.com/blog1/ http://test.com/blog2/ NULL
https://test.com/blog1/ https://test.com/blog2/ https://test.com/blog1/
http://test.com/blog1/ http://test.com/blog2/ http://test.com/blog1/
http://test.com/blog1/ http://example.com http://test.com/blog1/
http://test.com/blog1/ https://example.com http://test.com/blog1/
https://test.com/blog1/ http://example.com NULL

block-all-mixed-content

前边说过,对于 HTTPS 中的图片等 Optionally-blockable 类 HTTP
能源,今世浏览器暗中同意会加载。图片类财富被威迫,平时不会有太大的主题素材,但也可以有部分危害,比如相当多网页按键是用图形完结的,中间人把那个图片改掉,也会干扰客商使用。

通过 CSP
的 block-all-mixed-content 指令,能够让页面步向对混合内容的严格检验(Strict
Mixed Content Checking)形式。在这种情势下,全部非 HTTPS
资源都不容许加载。跟其余具备 CSP
法规同样,能够通过以下二种方法启用那一个命令:

HTTP 响应头格局:

JavaScript

Content-Security-Policy: block-all-mixed-content

1
Content-Security-Policy: block-all-mixed-content

<meta> 标签格局:

XHTML

<meta http-equiv=”Content-Security-Policy”
content=”block-all-mixed-content”>

1
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

测试

木棉花商讨员 Scott Helme 贡献了叁个万分棒的网址
[https://securityheaders.io/\],能够深入分析自个儿站点的Header(报文头),并建议改良安全性的建议。示例如下(意况参数,Operating
System: CentOS 7 ; haproxy 1.5.14 ; nginx 1.12.0)。

  • 加固前的检查测验结果
![](https://upload-images.jianshu.io/upload_images/1037849-af2f51678e583572.png)

加固前
  • 加固后的检测结果
![](https://upload-images.jianshu.io/upload_images/1037849-3d4af6ce7042c7b9.png)

加固后

upgrade-insecure-requests

历史持久的大站在往 HTTPS
迁移的进程中,职业量往往拾壹分了不起,特别是将全数财富都替换为 HTTPS
这一步,很轻易发生分漏。就算具备代码都认账没不平日,极大概有个别从数据库读取的字段中还存在
HTTP 链接。

而通过 upgrade-insecure-requests 那几个 CSP
指令,能够让浏览器帮助做这么些转变。启用这一个政策后,有多少个变化:

  • 页面全数 HTTP 财富,会被轮换为 HTTPS 地址再发起呼吁;
  • 页面全数站内链接,点击后会被替换为 HTTPS 地址再跳转;

跟其余具有 CSP
准则平等,那几个命令也会有二种艺术来启用,具体魄式请参见上一节。供给潜心的是 upgrade-insecure-requests 只替换合同部分,所以只适用于
HTTP/HTTPS 域名和路径完全一致的场景。

客观选用 HSTS

在网址全站 HTTPS 后,纵然顾客手动敲入网址的 HTTP
地址,大概从任什么地方方点击了网址的 HTTP 链接,依赖于劳动端 30半数02
跳转本事选择 HTTPS 服务。而首先次的 HTTP
央求就有希望被威逼,导致诉求无法达到服务器,进而构成 HTTPS 降级劫持。

HSTS 基本使用

那几个标题能够通过 HSTS(HTTP Strict Transport
Security,RFC6797)来消除。HSTS
是三个响应头,格式如下:

JavaScript

Strict-Transport-Security: max-age=expireTime [; includeSubDomains]
[; preload]

1
Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

max-age,单位是秒,用来告诉浏览器在内定时间内,这些网址必须经过 HTTPS
左券来拜谒。也正是对于这一个网址的 HTTP 地址,浏览器供给先在本土替换为
HTTPS 之后再发送央求。

includeSubDomains,可选参数,若是内定这些参数,注明那几个网址有着子域名也必须通过
HTTPS 合同来拜谒。

preload,可选参数,后边再介绍它的遵从。

HSTS 那么些响应头只好用于 HTTPS 响应;网站必需接纳暗许的 443
端口;必需使用域名,不能够是 IP。並且启用 HSTS
之后,一旦网址证书错误,客户不恐怕选取忽略。

HSTS Preload List

能够看出 HSTS 能够很好的减轻 HTTPS 降级攻击,不过对于 HSTS 生效前的首次HTTP 乞请,仍然不能防止被威胁。浏览器厂商们为了缓慢解决那么些难题,提议了 HSTS
Preload List
方案:内置一份列表,对于列表中的域名,固然客商之前并未有访问过,也会动用
HTTPS 合同;列表能够定时更新。

此时此刻以此 Preload List 由 Google Chrome 维护,Chrome、Firefox、Safari、IE
11 和 Microsoft Edge
都在利用。如若要想把团结的域名加进那些列表,首先须求满意以下标准:

  • 装有合法的证件(假使利用 SHA-1 证书,过期光阴必得早于 二〇一四 年);
  • 将具备 HTTP 流量重定向到 HTTPS;
  • 保险全部子域名都启用了 HTTPS;
  • 输出 HSTS 响应头:
    • max-age 不可能低于 18 周(10886400 秒);
    • 非得钦命 includeSubdomains 参数;
    • 不能够不钦命 preload 参数;

就算满意了上述全部标准,也不必然能步向 HSTS Preload
List,更加多音信方可看这里。通过
Chrome 的 chrome://net-internals/#hsts工具,能够查询有个别网址是不是在
Preload List 之中,还足以手动把某个域名加到本机 Preload List。

对于 HSTS 以及 HSTS Preload List,笔者的提出是只要您不能够担保永世提供 HTTPS
服务,就不要启用。因为借使 HSTS 生效,你再想把网址重定向为
HTTP,在此之前的老顾客会被Infiniti重定向,独一的议程是换新域名。

CDN 安全

对此大站来讲,全站迁移到 HTTPS 后要么得用 CDN,只是必需挑选帮忙 HTTPS 的
CDN 了。假设采纳第三方 CDN,安全方面有一点亟待想念的地点。

客观施用 SHighlanderI

HTTPS
可防止御数据在传输中被篡改,合法的证书也能够起到说明服务器身份的功力,不过一旦
CDN 服务器被凌犯,导致静态文件在服务器上被篡改,HTTPS 也不可能。

W3C 的 SRI(Subresource
Integrity)标准能够用来减轻这一个难点。S凯雷德I
通过在页面引用能源时钦命财富的摘要签字,来贯彻让浏览器验证财富是还是不是被歪曲的目标。只要页面不被曲解,SEnclaveI
计策正是保证的。

关于 S奥迪Q5I 的越来越多表达请看自个儿事先写的《Subresource Integrity
介绍》。S汉兰达I 实际不是HTTPS
专用,但一旦主页面被勒迫,攻击者能够轻便去掉财富摘要,进而失去浏览器的
SSportageI 校验机制。

了解 Keyless SSL

别的贰个标题是,在使用第三方 CDN 的 HTTPS
服务时,假诺要运用本人的域名,供给把相应的表明私钥给第三方,那也是一件高危机极高的事体。

CloudFlare 集团本着这种情景研究开发了 Keyless SSL
本领。你能够不把证件私钥给第三方,改为提供一台实时总括的 Key Server
就可以。CDN 要用到私钥时,通过加密大道将要求的参数字传送给 Key Server,由 Key
Server 算出结果并再次回到就可以。整个进程中,私钥都保险在融洽的 Key Server
之中,不会暴光给第三方。

CloudFlare
的那套机制已经开源,如需了然实际情况,能够查看他们官方博客的那篇小说:Keyless
SSL: The Nitty Gritty Technical
Details。

好了,本文先就写到这里,要求小心的是本文提到的 CSP、HSTS 以及 S路虎极光I
等宗旨都唯有新型的浏览器才支撑,详细的支持度能够去CanIUse 查。切换来HTTPS
之后,在性质优化上有很多新工作要做,这一部分剧情小编在在此之前的博客中写过非常的多,这里不再重复,只说最根本的一点:既然都
HTTPS 了,赶紧上 HTTP/2 才是正道。

1 赞 4 收藏
评论

皇家赌场手机版 7

Leave a Comment.