一.https簡單介紹
http://www.ruanyifeng.com/blog/2014/09/ssl-latency.html
https://my.oschina.net/u/565430/blog/336539
二.https Mixed content
參考:https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content
[Mixed content]
當(dāng)我們訪問一個(gè)html頁面的時(shí)候浙滤,我們通過https來加載的頁面鸡岗,但是大多數(shù)的頁面并不是一次性全部加載完成副女,
我們還需要分步加載頁面上的其它子元素,比如images, videos, stylesheets, scripts等丈积。這些子請求最好是https的西土,如果是http的話槽片,就會(huì)發(fā)生Mixed content胰丁。
[Mixed content的危害]
大概分成兩種危害等級(jí)(具體例子可以查看參考文檔):
1.Passive mixed content
中間人攻擊只能操縱被攔截到的不安全的http請求,并僅能對(duì)這部分進(jìn)行破壞腊瑟,不會(huì)對(duì)其它部分進(jìn)行影響聚假,比如圖片換成廣告 之類的。
2.Active mixed content
破壞者會(huì)通過一個(gè)子請求進(jìn)而破壞整個(gè)頁面闰非, 比如scripts, stylesheets, iframes, flash resources, and other code 能夠下載執(zhí)行的膘格。
[https做了什么來避免危害]
Using HTTPS has three main benefits:
Authentication:https會(huì)讓瀏覽器檢查是否打開了正確的網(wǎng)站,而不是重定向到危險(xiǎn)的網(wǎng)站
Data integrity:https會(huì)讓瀏覽器檢查是不是曾經(jīng)有誰修改過數(shù)據(jù)
Secrecy:https會(huì)讓瀏覽器檢查是否曾經(jīng)有誰看過數(shù)據(jù)
詳細(xì)的還可以看:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
[那為甚么沒有將這種危害全部block 呢]
因?yàn)橛刑嗟木W(wǎng)站存在https鏈接中再發(fā)起http請求财松,如果都block的話瘪贱,會(huì)造成這些網(wǎng)站不可用
目前只是挑了一些很嚴(yán)重的級(jí)別的進(jìn)行了阻斷,其它的都是警告辆毡,具體可以看一下參考文檔菜秦。
三.https性能
[變慢的原因]
HTTP請求要經(jīng)過建立TCP連接這一步,而TCP為了可靠傳輸舶掖,建立連接需要三次握手球昨。如果網(wǎng)站又接入了HTTPS,那還要額外多兩次RTT時(shí)間以建立安全通道眨攘,這樣耗費(fèi)了很多時(shí)間主慰。
在使用的時(shí)候,通常會(huì)進(jìn)行請求復(fù)用鲫售。
比如共螺,對(duì)新老圖片功能做對(duì)比,如果https接口的圖片加載有明顯的卡頓現(xiàn)象情竹,就說明沒有盡興連接復(fù)用藐不。
[web優(yōu)化方式]
https://www.kancloud.cn/digest/web-performance-http2/74822
[重用Session提高h(yuǎn)ttps性能]
http://www.jdon.com/performance/speeding-up-https-with-session-resumption.html