安全之内容安全战略,让浏览器不再显得

by admin on 2019年9月29日

让浏览器不再展现 https 页面中的 http 恳求警报

安全之内容安全战略,让浏览器不再显得。2015/08/26 · 基本功本领 ·
HTTPS,
浏览器

原来的书文出处:
李靖(@Barret李靖)   

HTTPS 是 HTTP over Secure Socket Layer,以安全为对象的 HTTP 通道,所以在
HTTPS 承载的页面上不容许出现 http 央浼,一旦出现正是提醒或报错:

必发88,Mixed Content: The page at ‘‘ was loaded over
HTTPS, but requested an insecure image ‘’.
This content should also be served over HTTPS.

HTTPS改动之后,大家能够在大多页面中看见如下警报:

必发88 1

过多营业对 https 未有手艺概念,在填充的多少中难免现身 http
的能源,连串庞大,出现马虎和尾巴也是不可制止的。

摘要

当前有那些的恶意攻击都以以网址及其客商作为对象,本文将简要介绍在 Web
服务器一侧的鄂州加固和测量试验方法。

攻击方式 防护方式 说明
点击劫持(clickjacking) X-Frame-Options Header —–
基于 SSL 的中间人攻击(SSL Man-in-the-middle) HTTP Strict Transport Security —–
跨站脚本(Cross-site scripting,XSS) X-XSS-Protection、Content-Security-Policy、X-Content-Type-Options —–

至于启用 HTTPS 的局地经验分享

2015/12/04 · 基本功工夫 ·
HTTP,
HTTPS

初稿出处:
imququ(@屈光宇)   

安全之内容安全战略,让浏览器不再显得。乘胜国内网络情况的穿梭恶化,种种篡改和绑架屡见不鲜,越多的网址精选了全站
HTTPS。就在今天,无需付费提供证书服务的 Let’s
Encrypt 项目也正式开放,HTTPS 极快就能够化为
WEB 必选项。HTTPS 通过 TLS
层和证件机制提供了内容加密、身份ID明和数据完整性三大功能,能够有效防御数据被翻动或篡改,以及防范中间人冒充。本文共享部分启用
HTTPS 进程中的经验,入眼是何许与局地新出的平安专门的学问合作使用。至于 HTTPS
的布署及优化,以前写过许多,本文不重复了。

内容安全计策 (CSP, Content Security Policy)
是贰个增大的安全层,用于扶持检查评定和化解有个别类其余口诛笔伐,富含跨站脚本攻击
(XSS) 和多少注入等攻击。

CSP设置upgrade-insecure-requests

幸好 W3C 专门的职业组思量到了大家升级 HTTPS 的孤苦,在 2014 年 十月份就出了一个 Upgrade Insecure Requests 的草案,他的效率就是让浏览器自动晋级央浼。

在我们服务器的响应头中参加:

header(“Content-Security-Policy: upgrade-insecure-requests”);

1
header("Content-Security-Policy: upgrade-insecure-requests");

咱俩的页面是 https 的,而这些页面中包含了大气的 http
财富(图片、iframe等),页面一旦开掘存在上述响应头,会在加载 http
财富时自动替换到 https 央浼。可以查看 google
提供的三个 demo:

必发88 2

唯独令人不解的是,这些能源发出了一次呼吁,估量是浏览器达成的 bug:

必发88 3

理之当然,假如大家不便于在服务器/Nginx
上操作,也得以在页面中插手 meta 头:

XHTML

<meta http-equiv=”Content-Security-Policy”
content=”upgrade-insecure-requests” />

1
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

脚下协助那些装置的还唯有 chrome 43.0,不过小编相信,CSP 将成为今后 web
前端安全努力关注和利用的源委。而 upgrade-insecure-requests 草案也会非常的慢踏入兰德冠道FC 情势。

从 W3C
专门的学业组给出的 example,能够看来,那一个设置不会对别国的
a 链接做拍卖,所以能够放心使用。

1 赞 收藏
评论

必发88 4

点击胁迫(Clickjacking)

点击胁制,clickjacking
是一种在网页中校恶意代码等掩瞒在近似无害的开始和结果(如开关)之下,并引诱客户点击的花招,又被叫作分界面伪装(UI
redressing)。举个例子客户接受一封包罗一段录制的电子邮件,但里面包车型大巴“播放”按键并不会真的播放录像,而是上圈套踏入四个购物网址。

必发88 5

本着点击威胁攻击,开放Web应用程序安全项目(Open Web Application Security
Project
,OWASP)(非营利团体,其目标是扶助个人、集团和机构来发掘和行使可信赖任软件)
提供了一份指点,《Defending_with_X-Frame-Options_Response_Headers》

X-Frame-Options HTTP 响应头是用来给浏览器提醒允许二个页面可不可以在 frame
标签 或许 object
标签中显示的号子。网址能够使用此作用,来保证自身网址的剧情尚未被嵌到他人的网址中去,也就此防止了点击恫吓(clickjacking) 的攻击。DENY:表示该页面不允许在 frame
中显得,即就是在同样域名的页面中嵌套也区别意。SAMEOGL450IGIN:表示该页面能够在同等域名页面的frame 中突显。ALLOW-FROM uri:表示该页面能够在钦点来源的 frame
中显得。配置如下:

//HAProxy
http-response set-header X-Frame-Options:DENY
//Nginx
add_header X-Frame-Options "DENY";
//Java
response.addHeader("x-frame-options","DENY");

理解 Mixed Content

HTTPS 网页中加载的 HTTP 财富被称呼 Mixed
Content(混合内容),分歧浏览器对 Mixed Content 有分裂样的拍卖准绳。

那几个攻击可用于贯彻从数据窃取到网址破坏或当作恶意软件分发版本等用途。内容安全战略在当代浏览器中已经富含,使用的是
W3C CSP 1.0 标准中叙述的 Content-Security-Policy 底部和指令。

跨站脚本 Cross-site scripting (XSS)

跨站脚本平日指的是经过利用支付时留下的尾巴,注入恶意指令代码(JavaScript/Java/VBScript/ActiveX/Flash/HTML等)到网页,使客户加载并实践攻击者恶意创造的程序。攻击者恐怕获取越来越高的权位、私密网页、会话和cookie等种种内容。如今有两种不一样的
HTTP 响应头能够用来防备 XSS 攻击,它们是:

  • X-XSS-Protection
  • Content-Security-Policy

早期的 IE

先前时代的 IE 介怀识 Mixed Content
央浼时,会弹出「是或不是只查看安全传送的网页内容?」那样三个模态对话框,一旦顾客采用「是」,全体Mixed Content 能源都不会加载;选拔「否」,全体能源都加载。

那就是说怎么样选取?

CSP 可以由二种形式内定:HTTP Header 和 HTML。HTTP 是在 HTTP 由增加Header 来内定,而 HTML 等第则由 Meta 标签钦命。

CSP 有两类:Content-Security-Policy 和
Content-Security-Policy-Report-Only。(大小写毫不相关)

HTTP header :
"Content-Security-Policy:" 策略
"Content-Security-Policy-Report-Only:" 策略

HTTP Content-Security-Policy
头能够内定一个或五个财富是平安的,而Content-Security-Policy-Report-Only则是允许服务器检查(非强制)三个国策。八个头的方针定义由事先使用最早定义的。

HTML Meta :
<meta http-equiv="content-security-policy" content="策略">
<meta http-equiv="content-security-policy-report-only" content="策略">

Meta 标签与 HTTP 头只是行式差异而效果是千篇一律的。与 HTTP
头同样,优先利用最初定义的国策。如若 HTTP 头与 Meta
定义同一时候设有,则优先选拔 HTTP 中的定义。

倘诺顾客浏览器已经为前段时间文书档案试行了一个 CSP 的战术,则会跳过 Meta
的定义。假使 META 标签缺少 content 属性也一模一样会跳过。

针对开采者草案中特地的提示一点:为了选用政策生效,应该将 Meta
成分头放在起第4地点,避防御提升人为的 CSP 计谋注入。

方今,多种化的口诛笔伐手腕层见迭出,传统安全建设方案越发难以应对互连网安全攻击。OneASP&utm_campaign=AspRaspArti&from=jswgiardnp)
自适应安全平台合併了展望、防范、检查实验和响应的本领,为你提供精准、持续、可视化的平安全防护护。想阅读愈来愈多本领作品,请访问
OneAPM
官方本事博客&utm_campaign=AspRaspArti&from=jswgiardnp)

本文转自 OneAPM 官方博客

X-XSS-Protection

HTTP X-XSS-Protection 响应头是Internet
Explorer,Chrome和Safari的叁个成效,当检查实验到跨站脚本攻击
(XSS)时,浏览器将终止加载页面。配置选项:0 取缔XSS过滤。1
启用XSS过滤(日常浏览器是暗中认可的)。
假诺检验到跨站脚本攻击,浏览器将免去页面(删除不安全的部分)。mode=block
启用XSS过滤,
假使检查评定到攻击,浏览器将不会去掉页面,而是阻止页面加载。report=reporting-U逍客I
启用XSS过滤。 要是检查测量试验到跨站脚本攻击,浏览器将消除页面并运用 CSP
report-uri 指令的职能发送违规报告。参谋作品《The misunderstood
X-XSS-Protection》:

//HAProxy
http-response set-header X-XSS-Protection: 1;mode=block
//Nginx
add_header X-Xss-Protection "1; mode=block" always;;

浏览器帮衬景况:

Chrome Edge Firefox Internet Explorer Opera Safari
(Yes) (Yes) No 8.0 (Yes) (Yes)

正如新的 IE

比较新的 IE
将模态对话框改为页面尾部的提醒条,未有后面那么苦恼客户。並且暗许会加载图片类
Mixed Content,别的如 JavaScript、CSS
等能源还是会依附顾客挑选来调节是或不是加载。

Content-Security-Policy

故事情节安全性政策(Content Security
Policy,CSP)就是一种白名单制度,显明告诉客商端哪些外部资源(脚本/图片/音录制等)能够加载和实行。浏览器能够拒绝任何不出自预约义地点的任何内容,进而幸免外界注入的剧本和别的此类恶意内容。设置
Content-Security-Policy Header:

//HAProxy:
http-response set-header Content-Security-Policy:script-src https://www.google-analytics.com;https://q.quora.com
//Nginx
add_header Content-Security-Policy-Report-Only "script-src https://www.google-analytics.com https://q.quora.com";

当代浏览器

今世浏览器(Chrome、Firefox、Safari、Microsoft Edge),基本上都服从了
W3C 的 Mixed Content 规范,将
Mixed Content 分为Optionally-blockable 和 Blockable 两类:

Optionally-blockable 类 Mixed Content
满含那贰个危急非常小,纵然被中间人歪曲也无大碍的能源。今世浏览器默许会加载那类财富,同一时间会在调控台打印警告音信。那类能源包罗:

  • 通过 <img> 标签加载的图片(包罗 SVG 图片);
  • 通过 <video> / <audio> 和 <source> 标签加载的录像或音频;
  • 预读的(Prefetched)资源;

除开全数的 Mixed Content
都以 Blockable,浏览器必需禁绝加载那类财富。所以当代浏览器中,对于
HTTPS 页面中的 JavaScript、CSS 等 HTTP
财富,一律不加载,间接在调节台打字与印刷错误音信。

MIME-Sniffing

MIME-Sniffing(首假若Internet Explorer)使用的一种本事,它尝试揣度财富的
MIME 类型(也堪称 Content-Type 内容类型)。那意味着浏览器能够忽略由 Web
服务器发送的 Content-Type
Header,并不是尝试深入分析财富(举例将纯文本标志为HTML
标签),遵照它感到的能源(HTML)渲染财富并非服务器的概念(文本)。纵然那是三个不行有效的效劳,能够考订服务器发送的荒唐的
Content-Type,不过心怀不轨的人能够自由滥用这一特色,那使得浏览器和客商恐怕被恶心抨击。比方,如通过精心制作一个图像文件,并在其中嵌入能够被浏览器所展现和进行的HTML和t代码。《Microsoft
Developer Network:IE8 Security Part V: Comprehensive
Protection》:

Consider, for instance, the case of a picture-sharing web service
which hosts pictures uploaded by anonymous users. An attacker could
upload a specially crafted JPEG file that contained script content,
and then send a link to the file to unsuspecting victims. When the
victims visited the server, the malicious file would be downloaded,
the script would be detected, and it would run in the context of the
picture-sharing site. This script could then steal the victim’s
cookies, generate a phony page, etc.

//HAProxy
http-response set-header X-Content-Type-Options: nosniff
//Nginx
add_header X-Content-Type-Options "nosniff" always;

移动浏览器

这两天所说都以桌面浏览器的一言一动,移动端情形相比复杂,当前超过一半平移浏览器默许都允许加载
Mixed Content。也便是说,对于移动浏览器来说,HTTPS 中的 HTTP
能源,无论是图片仍然 JavaScript、CSS,默许都会加载。

平日选拔了全站 HTTPS,将要制止现身 Mixed Content,页面全体财富供给都走
HTTPS 公约才干担保具备平台具有浏览器下都并未有失水准。

SSL Strip Man-in-The-Middle Attack

高级中学档人攻击中攻击者与电视发表的双方分别创设独立的关联,并沟通其所接到的数码,使通信的两头以为他们正在通过一个私密的连天与对方直接对话,但实际上整个会话都被攻击者完全调控。例如,在二个未加密的Wi-Fi
有线接入点的接受范围内的中间人攻击者,能够将团结看做一个个中人插入那一个互联网。强制客户接纳HTTP严酷传输安全(HTTP
Strict Transport
Security,HSTS)。 HSTS 是一套由
IETF
公布的网络安全计谋机制。Chrome 和 Firefox 浏览器有四个放到的 HSTS
的主机列表,网址能够挑选使用 HSTS 计谋强制浏览器选择 HTTPS
合同与网址进行通讯,以压缩会话威逼风险。

必发88 6

服务器设置下列选项能够强制全数顾客端只好由此 HTTPS 连接:

//HAProxy
http-response set-header Strict-Transport-Security max-age=31536000;includeSubDomains;preload
//Nginx
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload; always;'

客观使用 CSP

CSP,全称是 Content Security
Policy,它有十分的多的吩咐,用来达成五光十色与页面内容安全休戚相关的功效。这里只介绍四个与
HTTPS 相关的下令,更加多内容能够看本人事先写的《Content Security Policy
Level 2
介绍》。

暴露 URL (HTTPS > HTTP Sites)

Referrer
音讯被普及用于互联网访问流量来源深入分析,它是十分多网址数据计算服务的基础,比如
Google Analytics 和
AWStats,基于Perl的开源日志分析工具。同样的这一特点也会很轻便被恶意使用,造成客商敏感消息败露,举个例子将用户SESSION ID 放在 ULX570L 中,第三方获得就可能看见外人登陆后的页面内容。2015年,W3C 发布了 Referrer Policy 的新草案,开垦者伊始有权决定自个儿网址的
Referrer Policy。不过唯有 Chrome/Firefox
浏览器较新的本子的能够提供支撑。

Feature Chrome Firefox Edge、Internet Explorer、 Opera、Safari
Basic Support 56.0 50.0 (No)
same-origin (No)1 52.0 (No)
strict-origin (No)1 52.0 (No)
strict-origin-when-cross-origin (No)1 52.0 (No)

Referrer-Policy选项列表:

  • Referrer-Policy: no-referrer //整个 Referer
    首部会被移除。访谈来源音信不趁早哀告一起发送。
  • Referrer-Policy: no-referrer-when-downgrade //暗许选项
    //援引页面包车型客车地点会被发送(HTTPS->HTTPS),降级的情状不会被发送
    (HTTPS->HTTP)
  • Referrer-Policy: origin //在任何意况下,仅发送文书的源作为引用地址
  • Referrer-Policy: origin-when-cross-origin
    //对于同源的央浼,会发送完整的U奥德赛L作为引用地址,可是对于非同源诉求仅发送文书的源
  • Referrer-Policy: same-origin
    //对于同源的诉求会发送引用地址,可是对于非同源乞求则不发送援用地址音讯。
  • Referrer-Policy: strict-origin
    //在同等安全级其他处境下,发送文书的源作为援用地址(HTTPS->HTTPS)
  • Referrer-Policy: strict-origin-when-cross-origin
    //对于同源的伸手,会发送完整的U逍客L作为援引地址
  • Referrer-Policy: unsafe-url //无论是还是不是同源央浼,都发送完整的
    U索罗德L(移除参数音讯之后)作为援用地址。

我们必须确认保障客户从全 HTTPS 站点跳转到 HTTP
站点的时候,未有中间人能够嗅探出客户实际的 HTTPS URAV4L,Referrer Policy
设置如下:

//HAProxy
http-response set-header Referrer-Policy no-referrer-when-downgrade
//Nginx
add_header Referrer-Policy: no-referrer-when-downgrade
Source Destination Referrer (Policy :no-referrer-when-downgrade)
https://test.com/blog1/ http://test.com/blog2/ NULL
https://test.com/blog1/ https://test.com/blog2/ https://test.com/blog1/
http://test.com/blog1/ http://test.com/blog2/ http://test.com/blog1/
http://test.com/blog1/ http://example.com http://test.com/blog1/
http://test.com/blog1/ https://example.com http://test.com/blog1/
https://test.com/blog1/ http://example.com NULL

block-all-mixed-content

日前说过,对于 HTTPS 中的图片等 Optionally-blockable 类 HTTP
能源,当代浏览器暗许会加载。图片类财富被吓唬,经常不会有太大的主题素材,但也会有一点高危机,比如非常多网页开关是用图形达成的,中间人把那几个图片改掉,也会干扰客户选择。

通过 CSP
的 block-all-mixed-content 指令,能够让页面步入对混合内容的残忍检查实验(Strict
Mixed Content Checking)方式。在这种形式下,全数非 HTTPS
能源都不容许加载。跟任何具备 CSP
法规平等,能够通过以下三种方法启用那个命令:

HTTP 响应头情势:

JavaScript

Content-Security-Policy: block-all-mixed-content

1
Content-Security-Policy: block-all-mixed-content

<meta> 标签格局:

XHTML

<meta http-equiv=”Content-Security-Policy”
content=”block-all-mixed-content”>

1
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

测试

商洛商量员 斯科特 Helme 贡献了一个不行棒的网址
[https://securityheaders.io/\],能够剖判本身站点的Header(报文头),并建议改正安全性的建议。示举例下(遭逢参数,Operating
System: CentOS 7 ; haproxy 1.5.14 ; nginx 1.12.0)。

  • 加固前的检查测量试验结果
![](https://upload-images.jianshu.io/upload_images/1037849-af2f51678e583572.png)

加固前
  • 加固后的检查评定结果
![](https://upload-images.jianshu.io/upload_images/1037849-3d4af6ce7042c7b9.png)

加固后

upgrade-insecure-requests

历史悠久的大站在往 HTTPS
迁移的长河中,职业量往往极度伟大,尤其是将具备财富都替换为 HTTPS
这一步,很轻便产生分漏。尽管具备代码都认账没不平时,不小概某个从数据库读取的字段中还留存
HTTP 链接。

而通过 upgrade-insecure-requests 那几个 CSP
指令,能够让浏览器支持做这么些转换。启用那些计谋后,有多个转换:

  • 页面全体 HTTP 能源,会被交流为 HTTPS 地址再发起呼吁;
  • 页面全数站内链接,点击后会被交流为 HTTPS 地址再跳转;

跟另外具有 CSP
法则同样,那么些命令也是有三种方式来启用,具体魄式请参见上一节。须求注意的是 upgrade-insecure-requests 只替换公约部分,所以只适用于
HTTP/HTTPS 域名和路子完全一致的情景。

理所必然使用 HSTS

在网址全站 HTTPS 后,借使客商手动敲入网址的 HTTP
地址,或许从其余地方点击了网址的 HTTP 链接,重视于劳动端 30二分之一02
跳转本事运用 HTTPS 服务。而首先次的 HTTP
央求就有非常大希望被劫持,导致央浼无法达到服务器,进而组合 HTTPS 降级勒迫。

HSTS 基本使用

其一主题素材可以透过 HSTS(HTTP Strict Transport
Security,RFC6797)来消除。HSTS
是一个响应头,格式如下:

JavaScript

Strict-Transport-Security: max-age=expireTime [; includeSubDomains]
[; preload]

1
Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

max-age,单位是秒,用来告诉浏览器在指定时间内,这几个网址必需通过 HTTPS
合同来做客。也正是对于那一个网址的 HTTP 地址,浏览器供给先在本地替换为
HTTPS 之后再发送央浼。

includeSubDomains,可选参数,借使钦定那几个参数,评释那一个网址有着子域名也必需经过
HTTPS 合同来探问。

preload,可选参数,后边再介绍它的法力。

HSTS 那些响应头只好用于 HTTPS 响应;网址必得使用暗许的 443
端口;必需使用域名,不可能是 IP。并且启用 HSTS
之后,一旦网址证书错误,顾客不可能取舍忽略。

HSTS Preload List

能够看见 HSTS 能够很好的化解 HTTPS 降级攻击,但是对于 HSTS 生效前的首次HTTP 央浼,依旧心余力绌幸免被威逼。浏览器商家们为了化解那些主题材料,建议了 HSTS
Preload List
方案:内置一份列表,对于列表中的域名,纵然顾客以前并未访谈过,也会采用HTTPS 左券;列表能够定期更新。

眼前以此 Preload List 由 Google Chrome 维护,Chrome、Firefox、Safari、IE
11 和 Microsoft Edge
都在使用。若是要想把温馨的域名加进这些列表,首先须求满意以下条件:

  • 不无合法的申明(即使运用 SHA-1 证书,过期岁月必得早于 二零一六 年);
  • 将有所 HTTP 流量重定向到 HTTPS;
  • 确认保证全部子域名都启用了 HTTPS;
  • 输出 HSTS 响应头:
    • max-age 无法低于 18 周(10886400 秒);
    • 总得钦点 includeSubdomains 参数;
    • 必得钦赐 preload 参数;

就算知足了上述全数标准,也不必然能踏入 HSTS Preload
List,更加多新闻能够看这里。通过
Chrome 的 chrome://net-internals/#hsts工具,能够查询有个别网址是或不是在
Preload List 之中,仍是能够手动把有些域名加到本机 Preload List。

对此 HSTS 以及 HSTS Preload List,笔者的提议是一旦你不可能保证永久提供 HTTPS
服务,就无须启用。因为要是 HSTS 生效,你再想把网址重定向为
HTTP,以前的老客户会被Infiniti重定向,独一的办法是换新域名。

CDN 安全

对此大站来讲,全站迁移到 HTTPS 后可能得用 CDN,只是必得挑选帮衬 HTTPS 的
CDN 了。借使应用第三方 CDN,安全方面有一部分亟需思虑的地点。

客观使用 SMuranoI

HTTPS
可防止止数据在传输中被歪曲,合法的注脚也足以起到表明服务器身份的机能,不过假设CDN 服务器被侵犯,导致静态文件在服务器上被歪曲,HTTPS 也无从。

W3C 的 SRI(Subresource
Integrity)标准能够用来消除那些标题。SKugaI
通过在页面引用能源时钦赐能源的摘要具名,来实现让浏览器验证财富是不是被篡改的目标。只要页面不被歪曲,S途乐I
战略就是保证的。

有关 S福睿斯I 的越多表明请看作者事先写的《Subresource Integrity
介绍》。SCRUISERI 并不是HTTPS
专项使用,但万一主页面被威胁,攻击者能够轻便去掉能源摘要,进而失去浏览器的
SOdysseyI 校验机制。

了解 Keyless SSL

另外四个主题素材是,在应用第三方 CDN 的 HTTPS
服务时,如果要接纳本人的域名,需求把相应的证书私钥给第三方,那也是一件高危害异常高的业务。

CloudFlare 集团针对这种现象研究开发了 Keyless SSL
技艺。你能够不把证件私钥给第三方,改为提供一台实时总括的 Key Server
就能够。CDN 要用到私钥时,通过加密通道将须求的参数传给 Key Server,由 Key
Server 算出结果并重临就能够。整个经过中,私钥都保险在融洽的 Key Server
之中,不会揭示给第三方。

CloudFlare
的那套机制已经开源,如需询问详细的情况,能够查看他们官方博客的那篇小说:Keyless
SSL: The Nitty Gritty Technical
Details。

好了,本文先就写到这里,供给注意的是本文提到的 CSP、HSTS 以及 S本田UR-VI
等宗旨都独有新型的浏览器才支撑,详细的协理度能够去CanIUse 查。切换成HTTPS
之后,在性质优化上有相当多新工作要做,那有个别剧情本人在事先的博客中写过十分的多,这里不再另行,只说最器重的某个:既然都
HTTPS 了,赶紧上 HTTP/2 才是正道。

1 赞 4 收藏
评论

必发88 7

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图