所以我有一个带有SSL证书的服务器,我在其中托管了与我的CRM的API交互的各种脚本。
https://myserverdomain.com/script1,https://myserverdomain.com/script2,等等…
这些脚本中的每一个都对应于一个不同的产品,最好用它自己的url来标记。所有的产品都通过同一个CRM处理。
http://myproductdomain1.com,http://myproductdomain2.com,等。
一个示例流是:
- 所以他们会从myproductdomain1.com开始获取产品信息。
- 然后当他们去订货时,被带到https://myserverdomain/script1去取和处理订单。
- 最后返回http://myproductdomain1.com获取收据。
我想保持整个时间的网站安全,因为客户通过订单过程,我希望在整个过程中显示URL为myproductdomain1.com。
编辑:
我对这个领域一无所知,所以我意识到这是一个广泛的问题(如果我知道更多,我就不必问这个问题了,哈哈)
是否有一种方法来保持我所有的脚本在我的服务器上,但显示我漂亮的URL,同时保持网站的安全?
我通过云耀斑看到了这一点,但我不知道它是如何做到的。
<标题>例子:具体来说,我在hostgator上有两个域名,myserverdomain.com和myproductdomain.com。
有一个订单页面,它运行的脚本位于:https://myserverdomain.com/order/orderform.php
我希望当客户访问该页面时,它将实际显示https://myproductdomain.com/order。
myserverdomain.com有一个SSL证书,我使用cloudflare通过myproductdomain.com路由流量,它有flex SSL。
所以在这个配置中,有可能在保持安全连接的同时做我所要求的事情- 意味着挂锁将显示整个时间?
如果是,如何配置?
https的安全性基于多个方面。一件事是,您在各方之间进行了加密,并对对等方进行了适当的标识(即证书检查)。这保证了连接中的数据不能被嗅探,甚至不能被操纵。
安全性的另一部分是用户看到它与安全站点进行通信,并检测通信是否不安全或与某些意外站点进行通信。这是通过URL栏中https连接的典型标志来完成的(例如,像EV证书的绿色栏等)-并且只有在那里。
如果你想保持用于https的域对用户不可见,因为你只想显示没有https的品牌域,那么你有效地拒绝了用户检查正确安全连接的能力。由于用户无法再看到浏览器与哪个域通信以及连接的安全性,因此中间人攻击将很简单:只需修改来自品牌域的不安全http连接,以便与安全站点的包含通信被攻击者控制的其他站点取代。因为只有品牌域名会被显示,所以用户无法检测到这样的攻击。
因此我建议不要对用户隐藏真实的通信流。