防护与检查实验,让浏览器不再显得

让浏览器不再显示 https 页面中的 http 请求警报

2015/08/26 · 基础技巧 ·
HTTPS,
浏览器

原稿出处:
李靖(@Barret李靖)   

HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在
HTTPS 承载的页面上不允许出现 http 请求,①旦出现就是唤醒或报错:

Mixed Content: The page at ‘‘ was loaded over
HTTPS, but requested an insecure image ‘’.
This content should also be served over HTTPS.

HTTPS改变之后,大家得以在多数页面中来看如下警报:

澳门葡京 1

重重运转对 https 未有才能概念,在填写的数据中难免出现 http
的能源,种类强大,出现大意和漏洞也是不可翻盘的。

摘要

现阶段有为数不少的恶意攻击都是以网址及其用户作为对象,本文将简介在 Web
服务器一侧的平凉加固和测试方法。

攻击方式 防护方式 说明
点击劫持(clickjacking) X-Frame-Options Header —–
基于 SSL 的中间人攻击(SSL Man-in-the-middle) HTTP Strict Transport Security —–
跨站脚本(Cross-site scripting,XSS) X-XSS-Protection、Content-Security-Policy、X-Content-Type-Options —–

有关启用 HTTPS 的局地经验分享

2015/12/04 · 基础才能 ·
HTTP,
HTTPS

原来的书文出处:
imququ(@屈光宇)   

随着境内网络情形的不断恶化,各样篡改和绑架家常便饭,更多的网站选用了全站
HTTPS。就在前天,免费提供证件服务的 Let’s
Encrypt 项目也正式开放,HTTPS 不慢就会成为
WEB 必选项。HTTPS 通过 TLS
层和评释机制提供了内容加密、身份验证和数据完整性叁大效果,能够有效堤防数据被查看或篡改,以及防止中间人作伪。本文分享部分启用
HTTPS 进度中的经验,重视是什么样与一些新出的伊春标准同盟使用。至于 HTTPS
的配置及优化,以前写过无数,本文不重复了。

剧情安全攻略 (CSP, Content Security Policy)
是贰个外加的安全层,用于支持检验和消除某个类型的口诛笔伐,包涵跨站脚本攻击
(XSS) 和数码注入等攻击。

CSP设置upgrade-insecure-requests

幸亏 W3C 工作组考虑到了大家跳级 HTTPS 的困苦,在 20壹伍 年 五月份就出了3个 Upgrade Insecure Requests 的草案,他的职能便是让浏览器自动晋级请求。

在大家服务器的响应头中参预:

header(“Content-Security-Policy: upgrade-insecure-requests”);

1
header("Content-Security-Policy: upgrade-insecure-requests");

小编们的页面是 https 的,而以此页面中蕴藏了大批量的 http
财富(图片、iframe等),页面1旦开掘存在上述响应头,会在加载 http
财富时自动替换到 https 请求。能够查阅 google
提供的3个 demo澳门葡京,:

澳门葡京 2

然则让人不解的是,这一个资源发出了一回呼吁,估计是浏览器落成的 bug:

澳门葡京 3

防护与检查实验,让浏览器不再显得。本来,倘诺我们不方便人民群众在服务器/Nginx
上操作,也足以在页面中投入 meta 头:

XHTML

<meta http-equiv=”Content-Security-Policy”
content=”upgrade-insecure-requests” />

1
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

脚下辅助那一个设置的还唯有 chrome 43.0,但是小编信任,CSP 将改成未来 web
前端安全努力关怀和行使的始末。而 upgrade-insecure-requests 草案也会飞快进入
奥德赛FC 方式。

从 W3C
专门的学问组给出的 example,能够见见,那么些设置不会对别国的
a 链接做拍卖,所以能够放心使用。

1 赞 收藏
评论

澳门葡京 4

点击吓唬(Clickjacking)

点击威胁,clickjacking
是1种在网页少校恶意代码等隐蔽在周围无害的剧情(如按键)之下,并诱使用户点击的花招,又被叫做分界面伪装(UI
redressing)。比方用户接受1封饱含一段录像的电子邮件,但当中的“播放”开关并不会真的播放录像,而是被期骗进入1个购物网址。

澳门葡京 5

针对点击威迫攻击,开放Web应用程序安全项目(Open Web Application Security
Project
,OWASP)(非营利团体,其目的是支持个人、公司和机构来发现和动用可注重软件)
提供了壹份辅导,《Defending_with_X-Frame-Options_Response_Headers》

X-Frame-Options HTTP 响应头是用来给浏览器提醒允许1个页面可以还是不可以在 frame
标签 可能 object
标签中突显的符号。网址能够选拔此意义,来保管自身网址的内容从未被嵌到别人的网址中去,也因而防止了点击威吓(clickjacking) 的口诛笔伐。DENY:表示该页面不允许在 frame
中展现,即就是在平等域名的页面中嵌套也不容许。SAMEOXC90IGIN:表示该页面能够在1如既往域名页面的frame 中彰显。ALLOW-FROM uri:表示该页面可以在钦赐来源的 frame
中显得。配置如下:

//HAProxy
http-response set-header X-Frame-Options:DENY
//Nginx
add_header X-Frame-Options "DENY";
//Java
response.addHeader("x-frame-options","DENY");

理解 Mixed Content

HTTPS 网页中加载的 HTTP 能源被叫做 Mixed
Content(混合内容),不相同浏览器对 Mixed Content 有不平等的拍卖规则。

这几个攻击可用于达成从数量窃取到网址破坏或作为恶意软件分发版本等用途。内容安全攻略在现世浏览器中早已包括,使用的是
W3C CSP 1.0 标准中描述的 Content-Security-Policy 尾部和下令。

跨站脚本 克罗丝-site scripting (XSS)

跨站脚本平时指的是经过行使支付时留下的尾巴,注入恶意指令代码(JavaScript/Java/VBScript/ActiveX/Flash/HTML等)到网页,使用户加载并奉行攻击者恶意创制的程序。攻击者也许获取更加高的权位、私密网页、会话和cookie等各类内容。近期有二种差别的
HTTP 响应头能够用来防护 XSS 攻击,它们是:

  • X-XSS-Protection
  • Content-Security-Policy

早期的 IE

最初的 IE 在发掘 Mixed Content
请求时,会弹出「是还是不是只查看安全传送的网页内容?」那样贰个模态对话框,一旦用户挑选「是」,全部Mixed Content 财富都不会加载;选取「否」,全部能源都加载。

那么哪些行使?

CSP 能够由三种办法钦点:HTTP Header 和 HTML。HTTP 是在 HTTP 由伸张Header 来钦命,而 HTML 等级则由 Meta 标签内定。

CSP 有两类:Content-Security-Policy 和
Content-Security-Policy-Report-Only。(大小写毫不相关)

HTTP header :
"Content-Security-Policy:" 策略
"Content-Security-Policy-Report-Only:" 策略

HTTP Content-Security-Policy
头能够钦命一个或四个财富是高枕而卧的,而Content-Security-Policy-Report-Only则是同意服务器检查(非强制)三个政策。四个头的政策定义由事先利用伊始定义的。

HTML Meta :
<meta http-equiv="content-security-policy" content="策略">
<meta http-equiv="content-security-policy-report-only" content="策略">

Meta 标签与 HTTP 头只是行式不一样而作用是同等的。与 HTTP
头同样,优先利用早先定义的安顿。要是 HTTP 头与 Meta
定义同时存在,则先行接纳 HTTP 中的定义。

万壹用户浏览器已经为日前文档实施了叁个 CSP 的计谋,则会跳过 Meta
的定义。倘诺 META 标签贫乏 content 属性也一如既往会跳过。

针对开垦者草案中等专门的学问高校门的唤起一点:为了选取政策生效,应该将 Meta
成分头放在开端地方,避防御提升人为的 CSP 战术注入。

现在,多样化的攻击手腕不以为奇,守旧安全化解方案越发难以应对互联网安全攻击。OneASP&utm_campaign=AspRaspArti&from=jswgiardnp)
自适应安全平台合并了预测、防守、检查测试和响应的力量,为您提供精准、持续、可视化的克拉玛依防范。想阅读越来越多本事小说,请访问
OneAPM
官方才能博客&utm_campaign=AspRaspArti&from=jswgiardnp)

正文转自 OneAPM 官方博客

X-XSS-Protection

HTTP X-XSS-Protection 响应头是Internet
Explorer,Chrome和Safari的贰个功效,当检查评定到跨站脚本攻击
(XSS)时,浏览器将适可而止加载页面。配置选项:0 明确命令禁止XSS过滤。一启用XSS过滤(经常浏览器是暗许的)。
要是检查测试到跨站脚本攻击,浏览器将免除页面(删除不安全的1对)。mode=block
启用XSS过滤,
就算检验到攻击,浏览器将不会消除页面,而是阻止页面加载。report=reporting-UMuranoI
启用XSS过滤。 假如质量评定到跨站脚本攻击,浏览器将免除页面并利用 CSP
report-uri 指令的作用发送违法报告。参考小说《The misunderstood
X-XSS-Protection》:

//HAProxy
http-response set-header X-XSS-Protection: 1;mode=block
//Nginx
add_header X-Xss-Protection "1; mode=block" always;;

浏览器协助情况:

Chrome Edge Firefox Internet Explorer Opera Safari
(Yes) (Yes) No 8.0 (Yes) (Yes)

相比较新的 IE

正如新的 IE
将模态对话框改为页面尾部的提醒条,未有事先那么困扰用户。而且私下认可会加载图片类
Mixed Content,其余如 JavaScript、CSS
等能源依然会依据用户挑选来支配是还是不是加载。

Content-Security-Policy

剧情安全性政策(Content Security
Policy,CSP)正是1种白名单制度,分明告知客户端哪些外部资源(脚本/图片/音录像等)能够加载和施行。浏览器能够拒绝任何不出自预订义地方的别样内容,从而防止外部注入的剧本和其它此类恶意内容。设置
Content-Security-Policy Header:

//HAProxy:
http-response set-header Content-Security-Policy:script-src https://www.google-analytics.com;https://q.quora.com
//Nginx
add_header Content-Security-Policy-Report-Only "script-src https://www.google-analytics.com https://q.quora.com";

今世浏览器

今世浏览器(Chrome、Firefox、Safari、Microsoft 艾德ge),基本上都遵守了
W3C 的 Mixed Content 规范,将
Mixed Content 分为Optionally-blockable 和 Blockable 两类:

Optionally-blockable 类 Mixed Content
包括那个危险相当小,即使被中间人歪曲也无大碍的能源。当代浏览器私下认可会加载那类能源,同时会在调节台打字与印刷警告信息。这类财富包涵:

  • 通过 <img> 标签加载的图形(包蕴 SVG 图片);
  • 通过 <video> / <audio> 和 <source> 标签加载的录制或音频;
  • 预读的(Prefetched)资源;

除此之外全数的 Mixed Content
都以 Blockable,浏览器必须禁止加载那类财富。所以当代浏览器中,对于
HTTPS 页面中的 JavaScript、CSS 等 HTTP
能源,1律不加载,直接在调整台打字与印刷错误消息。

MIME-Sniffing

MIME-Sniffing(重倘若Internet Explorer)使用的1种技艺,它尝试猜测财富的
MIME 类型(也叫做 Content-Type 内容类型)。这意味着浏览器能够忽略由 Web
服务器发送的 Content-Type
Header,而不是尝尝分析能源(比如将纯文本标识为HTML
标签),依照它认为的能源(HTML)渲染能源而不是服务器的定义(文本)。即使那是2个充足实用的效果,能够改进服务器发送的荒唐的
Content-Type,然则心怀不轨的人得以随意滥用这一表征,那使得浏览器和用户恐怕被恶心攻击。比方,如通过精心制作一个图像文件,并在内部嵌入能够被浏览器所出示和进行的HTML和t代码。《Microsoft
Developer Network:IE8 Security Part V: Comprehensive
Protection》:

Consider, for instance, the case of a picture-sharing web service
which hosts pictures uploaded by anonymous users. An attacker could
upload a specially crafted JPEG file that contained script content,
and then send a link to the file to unsuspecting victims. When the
victims visited the server, the malicious file would be downloaded,
the script would be detected, and it would run in the context of the
picture-sharing site. This script could then steal the victim’s
cookies, generate a phony page, etc.

//HAProxy
http-response set-header X-Content-Type-Options: nosniff
//Nginx
add_header X-Content-Type-Options "nosniff" always;

移动浏览器

前方所说都是桌面浏览器的一坐一起,移动端意况比较复杂,当前大多活动浏览器暗中同意都同意加载
Mixed Content。也便是说,对于活动浏览器来讲,HTTPS 中的 HTTP
能源,无论是图片仍旧 JavaScript、CSS,暗中同意都会加载。

貌似选拔了全站 HTTPS,将在幸免出现 Mixed Content,页面全体财富请求都走
HTTPS 协议本事保障全数平台具备浏览器下都未曾难题。

SSL Strip Man-in-The-Middle Attack

中级人抨击中攻击者与电视发表的互相分别创造独立的关系,并沟通其所吸收的多少,使通信的两端感觉她们正在通过2个私密的连年与对方直接对话,但实则整个会话都被攻击者完全调控。例如,在三个未加密的Wi-Fi
有线接入点的收受范围内的中档人攻击者,能够将团结作为二其中级人插入那个互连网。强制用户采用HTTP严苛传输安全(HTTP
Strict Transport
Security,HSTS)。 HSTS 是一套由
IETF
发表的网络安全攻略机制。Chrome 和 Firefox 浏览器有2个平放的 HSTS
的主机列表,网站能够采用使用 HSTS 攻略强制浏览器接纳 HTTPS
协议与网址开始展览通讯,以减掉会话勒迫危机。

澳门葡京 6

服务器设置下列选项能够强制全部客户端只可以透过 HTTPS 连接:

//HAProxy
http-response set-header Strict-Transport-Security max-age=31536000;includeSubDomains;preload
//Nginx
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload; always;'

理所当然接纳 CSP

CSP,全称是 Content Security
Policy,它有拾分多的吩咐,用来促成美妙绝伦与页面内容安全相关的成效。那里只介绍多个与
HTTPS 相关的命令,越多内容能够看笔者前面写的《Content Security Policy
Level 2
介绍》。

暴露 URL (HTTPS > HTTP Sites)

Referrer
新闻被周边用于互连网访问流量来源分析,它是累累网址数量计算服务的基础,比如
Google Analytics 和
AWStats,基于Perl的开源日志分析工具。同样的那1特点也会很轻便被恶心使用,变成用户敏感消息败露,举例将用户
SESSION ID 放在 U汉兰达L 中,第2方得到就也许看到外人登6后的页面内容。2015年,W3C 发表了 Referrer Policy 的新草案,开垦者初叶有权决定本人网址的
Referrer Policy。不过仅有 Chrome/Firefox
浏览器较新的本子的能够提供帮忙。

Feature Chrome Firefox Edge、Internet Explorer、 Opera、Safari
Basic Support 56.0 50.0 (No)
same-origin (No)1 52.0 (No)
strict-origin (No)1 52.0 (No)
strict-origin-when-cross-origin (No)1 52.0 (No)

Referrer-Policy选项列表:

  • Referrer-Policy: no-referrer //整个 Referer
    首部会被移除。访问来源音讯不趁早请求一同发送。
  • Referrer-Policy: no-referrer-when-downgrade //私下认可选项
    //引用页面包车型大巴地方会被发送(HTTPS->HTTPS),降级的意况不会被发送
    (HTTPS->HTTP)
  • Referrer-Policy: origin //在任何意况下,仅发送文书的源作为引用地址
  • Referrer-Policy: origin-when-cross-origin
    //对于同源的乞求,会发送完整的U冠道L作为引用地址,可是对于非同源请求仅发送文书的源
  • Referrer-Policy: same-origin
    //对于同源的乞请会发送引用地址,但是对于非同源请求则不发送引用地址音讯。
  • Referrer-Policy: strict-origin
    //在同等安全级其余场地下,发送文书的源作为引用地址(HTTPS->HTTPS)
  • Referrer-Policy: strict-origin-when-cross-origin
    //对于同源的请求,会发送完整的U猎豹CS陆L作为引用地址
  • Referrer-Policy: unsafe-url //无论是不是同源请求,都发送完整的
    UPAJEROL(移除参数音信之后)作为引用地址。

我们务必确认保证用户从全 HTTPS 站点跳转到 HTTP
站点的时候,未有中间人能够嗅探出用户实际的 HTTPS U途睿欧L,Referrer Policy
设置如下:

//HAProxy
http-response set-header Referrer-Policy no-referrer-when-downgrade
//Nginx
add_header Referrer-Policy: no-referrer-when-downgrade
Source Destination Referrer (Policy :no-referrer-when-downgrade)
https://test.com/blog1/ http://test.com/blog2/ NULL
https://test.com/blog1/ https://test.com/blog2/ https://test.com/blog1/
http://test.com/blog1/ http://test.com/blog2/ http://test.com/blog1/
http://test.com/blog1/ http://example.com http://test.com/blog1/
http://test.com/blog1/ https://example.com http://test.com/blog1/
https://test.com/blog1/ http://example.com NULL

block-all-mixed-content

眼下说过,对于 HTTPS 中的图片等 Optionally-blockable 类 HTTP
资源,今世浏览器暗中认可会加载。图片类能源被胁制,常常不会有太大的主题材料,但也有一些风险,举例好些个网页开关是用图片完成的,中间人把这么些图片改掉,也会搅乱用户选用。

通过 CSP
的 block-all-mixed-content 指令,能够让页面进入对混合内容的严俊检测(Strict
Mixed Content Checking)格局。在那种格局下,全部非 HTTPS
能源都不容许加载。跟任何具有 CSP
规则一样,能够因而以下三种方式启用那么些命令:

HTTP 响应头方式:

JavaScript

Content-Security-Policy: block-all-mixed-content

1
Content-Security-Policy: block-all-mixed-content

<meta> 标签格局:

XHTML

<meta http-equiv=”Content-Security-Policy”
content=”block-all-mixed-content”>

1
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

测试

安全研商员 Scott Helme 贡献了一个要命棒的网址
[https://securityheaders.io/\],能够分析本人站点的Header(报文头),并提议改进安全性的建议。示比如下(蒙受参数,Operating
System: CentOS 7 ; haproxy 1.5.14 ; nginx 壹.1贰.0)。

  • 加固前的检查实验结果
![](https://upload-images.jianshu.io/upload_images/1037849-af2f51678e583572.png)

加固前
  • 加固后的检验结果
![](https://upload-images.jianshu.io/upload_images/1037849-3d4af6ce7042c7b9.png)

加固后

upgrade-insecure-requests

历史悠久的大站在往 HTTPS
迁移的经过中,工作量往往尤其巨大,越发是将具有财富都替换为 HTTPS
这一步,很轻易发面生漏。即使具有代码都承认未有失水准,很恐怕有些从数据库读取的字段中还设有
HTTP 链接。

而通过 upgrade-insecure-requests 那么些 CSP
指令,能够让浏览器协助做那么些调换。启用这么些战略后,有八个调换:

  • 页面全体 HTTP 能源,会被替换为 HTTPS 地址再发起呼吁;
  • 页面全部站内链接,点击后会被调换为 HTTPS 地址再跳转;

跟别的具备 CSP
规则平等,这么些命令也有二种艺术来启用,具体格式请参考上一节。要求专注的是 upgrade-insecure-requests 只替换协议部分,所以只适用于
HTTP/HTTPS 域名和路径完全1致的场景。

客观使用 HSTS

在网址全站 HTTPS 后,要是用户手动敲入网址的 HTTP
地址,大概从其余省方点击了网站的 HTTP 链接,正视于服务端 30三分一02跳转本事利用 HTTPS 服务。而首先次的 HTTP
请求就有十分大希望被威胁,导致请求不可能达到服务器,从而结成 HTTPS 降级威吓。

HSTS 基本采纳

以此主题材料得以由此 HSTS(HTTP Strict Transport
Security,RFC6797)来缓慢解决。HSTS
是叁个响应头,格式如下:

JavaScript

Strict-Transport-Security: max-age=expireTime [; includeSubDomains]
[; preload]

1
Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

max-age,单位是秒,用来告诉浏览器在钦赐时期内,这么些网址必须透过 HTTPS
协议来走访。约等于对于那一个网址的 HTTP 地址,浏览器必要先在地面替换为
HTTPS 之后再发送请求。

includeSubDomains,可选参数,即使钦定这些参数,表明这几个网站有着子域名也亟须通过
HTTPS 协议来访问。

preload,可选参数,后边再介绍它的法力。

HSTS 这么些响应头只好用来 HTTPS 响应;网址必须接纳默许的 44三端口;必须运用域名,不能够是 IP。而且启用 HSTS
之后,①旦网址证书错误,用户不恐怕取舍忽略。

HSTS Preload List

能够看看 HSTS 能够很好的缓慢解决 HTTPS 降级攻击,可是对于 HSTS 生效前的第三回HTTP 请求,依旧无法幸免被恐吓。浏览器厂家们为了化解这几个标题,提议了 HSTS
Preload List
方案:内置一份列表,对于列表中的域名,固然用户此前未有访问过,也会利用
HTTPS 协议;列表能够定时更新。

日前以此 Preload List 由 谷歌(Google) Chrome 维护,Chrome、Firefox、Safari、IE
1壹 和 Microsoft 艾德ge
都在动用。如若要想把温馨的域名加进那一个列表,首先须要满意以下标准:

  • 享有合法的注脚(假若运用 SHA-一 证书,过期时光必须早于 201陆 年);
  • 将具有 HTTP 流量重定向到 HTTPS;
  • 确定保证全数子域名都启用了 HTTPS;
  • 输出 HSTS 响应头:
    • max-age 不能够低于 1八 周(10886400 秒);
    • 总得钦赐 includeSubdomains 参数;
    • 必须钦赐 preload 参数;

固然满意了上述全体规则,也不自然能进来 HSTS Preload
List,更加多音讯能够看这里。通过
Chrome 的 chrome://net-internals/#hsts工具,能够查询有个别网址是还是不是在
Preload List 之中,仍是能够手动把有个别域名加到本机 Preload List。

对于 HSTS 以及 HSTS Preload List,小编的建议是借使您不能够保障永世提供 HTTPS
服务,就不要启用。因为只要 HSTS 生效,你再想把网址重定向为
HTTP,在此之前的老用户会被Infiniti重定向,唯一的不贰诀倘使换新域名。

CDN 安全

对此大站来讲,全站迁移到 HTTPS 后要么得用 CDN,只是必须选拔协助 HTTPS 的
CDN 了。如若运用第3方 CDN,安全方面有一些内需怀想的地方。

理所当然施用 S凯雷德I

HTTPS
可防止卫数据在传输中被曲解,合法的证书也能够起到表达服务器身份的效果,不过1旦
CDN 服务器被侵入,导致静态文件在服务器上被曲解,HTTPS 也不能够。

W3C 的 SRI(Subresource
Integrity)规范能够用来减轻那个难点。SQashqaiI
通过在页面引用财富时钦赐财富的摘要具名,来兑现让浏览器验证财富是或不是被歪曲的目标。只要页面不被曲解,S途达I
计策正是举手之劳的。

至于 S凯雷德I 的更多表达请看自个儿前边写的《Subresource Integrity
介绍》。S中华VI 并不是
HTTPS
专用,但尽管主页面被威吓,攻击者能够轻易去掉财富摘要,从而失去浏览器的
S卡宴I 校验机制。

了解 Keyless SSL

其它三个主题素材是,在使用第二方 CDN 的 HTTPS
服务时,倘诺要利用自个儿的域名,要求把相应的证件私钥给第二方,那也是一件高风险异常高的事务。

CloudFlare 集团本着那种气象研究开发了 Keyless SSL
本领。你能够不把证件私钥给第二方,改为提供一台实时总结的 Key Server
就能够。CDN 要用到私钥时,通过加密通道将要求的参数字传送给 Key Server,由 Key
Server 算出结果并回到就可以。整个经过中,私钥都保障在和煦的 Key Server
之中,不会暴光给第一方。

CloudFlare
的那套机制已经开源,如需明白详细情况,能够查看他们官方博客的那篇小说:Keyless
SSL: The Nitty Gritty Technical
Details。

好了,本文先就写到那里,要求小心的是本文提到的 CSP、HSTS 以及 SPRADOI
等宗旨都唯有新型的浏览器才支撑,详细的补助度能够去CanIUse 查。切换到HTTPS
之后,在品质优化上有诸多新工作要做,那有的剧情小编在头里的博客中写过无数,这里不再重复,只说最入眼的一点:既然都
HTTPS 了,赶紧上 HTTP/2 才是正道。

1 赞 4 收藏
评论

澳门葡京 7

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*
*
Website