HTTPS下开发若干注意事项

2016-12-30 本文已影响122人金三翔

开发随着HTTPS的普及，很多应用都需要HTTPS了，在实际开发中，对于HTTPS的应用，我总结了一下一些需要注意的地方，如果不全，欢迎补充。

1. 访问速度

以前大家都不采用HTTPS的原因，除了一个花钱之外，就是嫌弃速度慢了，不过随着浏览器的发展，这个已经不在是一个很大问题了。有人专门做过一个测试，见这里https://www.keycdn.com/blog/https-performance-overhead/

2. 资源加载

在HTTPS的应用里，如果加载了HTTP的请求，不同浏览器的行为有一些不一样。

IE浏览器／FireFox／Safari／Chrome对于script之类的则直接禁止加载，同时地址栏上有个警告提示，图片则能正常浏览。

360浏览器的兼容模式都正常，极速模式和Chrome行为一样。

所以如果在HTTPS应用里，所有的请求都应该是HTTPS链接，我的建议是对于应用内的资源可以采用相对路径，对于外部资源则需要HTTPS。

比如好的做法是采用//地址方法，这样如果是HTTP模式，则加载HTTP资源，HTTPS则加载HTTPS 资源。

HTML里的资源类似这种写法：

HTML: <img src="//cdn.domain.com/logo.png" />

CSS:.class { background: url(//cdn.domain.com/logo.png); }

这并不是什么新鲜玩意，只要符合RFC 1808 Section 4,RFC 2396 Section 5.2,RFC 3986 Section 5.2规范的浏览都支持这种模式，包括IE7和IE8在内，不过需要注意的一点的是，IE7和IE8会下载2次。

3. Cookie

同一的域名下的Cookie是可以区分开来的，默认的是HTTP下Cookie会带到HTTPS下，HTTPS下的Cookie是不会带到HTTP下，如果要2者互通，需要设置Cookie的Secure标记为false。

Java的代码如下：cookie.setSecure(false)

否则的话，你会发现HTTPS写的Cookie，在其他HTTP下面读取不到

4. 开发环境

因为采用HTTPS后，就无法采用fiddler／charles等代理工具用来调试请求，所以最好是应用同时能够支持HTTP模式，这样开发过程中采用HTTP，到了生产环境后就切换到HTTPS。

我的方法是Nginx + HTTP，Nginx部署HTTPS，后端应用只采用http，这样开发也是用HTTP，如果是HTTPS模式，则由Nginx在HTTP HEADER里设置一个变量，标记当前是HTTPS模式。

location / {

proxy_passhttp://127.0.0.1:8080;

proxy_set_header Host $host;

proxy_set_headerX-HTTP-SECURE TRUE;

proxy_set_header X-Real-IP$remote_addr;

proxy_set_header X-Forwarded-For$proxy_add_x_forwarded_for;

}

这样，开发就不需要部署HTTPS证书了，只是在HTTP模式下开发。

5. Java

Java里访问有些HTTPS网站会报错，是因为对方HTTPS的证书（比如证书等级不够）或者配置问题，对于确定可信的网站，可以绕过HTTPS证书。

private static voidtrustAllHttpsCertificates()throwsException {

javax.net.ssl.TrustManager[]trustAllCerts=newjavax.net.ssl.TrustManager[1];

javax.net.ssl.TrustManagertm=newmiTM();

trustAllCerts[0] =tm;

javax.net.ssl.SSLContextsc= javax.net.ssl.SSLContext.getInstance("SSL");

sc.init(null,trustAllCerts,null);

javax.net.ssl.HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

}

如果还有其他，我想到了再补充。