Защищенные от SSL лучшие практики веб-сайта
Я бы просто сделал это по старинке
<a onClick="window.history.back()" ....</a>
Таким образом, история браузера пользователей такая же, как если бы они просто нажимали кнопку «назад».
2 ответа
Ваш подход звучит прекрасным. В моем текущем проекте я вызываю HTTPS, когда пользователь переходит к моей странице входа в систему, (На основе флага конфигурации, который позволяет мне протестировать локально, не имея дело с необходимостью в сертификате). Это позволяет мне получать доступ к другим страницам, незащищенным, который удобен.
У меня есть пара мест, где наш сервер захватывает вывод других страниц (представляющий к HTML к PDF и выбирающий динамические изображения, например). Из-за нашей среды наш сервер не может разрешить, что это - общедоступное имя, поэтому если бы мы должны были вызвать ssl на сайте, то мы должны были бы добавить, наш внутренний IP-адрес (или фальсифицировать доменное имя).
Что касается Вашего второго вопроса у Вас есть две опции обработать www.example.com по сравнению с example.com. Можно купить сертификат, который позволяет Вам иметь несколько доменных имен. Они известны как сертификаты UCC.
Ваша вторая опция состоит в том, чтобы перенаправить example.com на www.example.com или наоборот. Перенаправление является большой опцией, если хотят, чтобы Ваше содержание было индексировано Google или другими поисковыми системами. Так как они будут видеть www.example.com и example.com как два отдельных сайта. Это означает, что ссылки на Ваши сайты будут разделены, уменьшая Ваш полный разряд страницы.
Можно настроить сайты в IIS для требования Сертификата, но это A) генерировало бы ошибку, если кто-то не гостит у https и B) потребовало бы, чтобы все страницы использовали https. Так, это не будет работать. Вы могли поместить фильтр на IIS, который проверяет все запросы и перенаправляет их как https вызовы, если они находятся в Вашем списке шифрования. Очевидный недостаток здесь является потребностью обновить Ваш список страниц каждый раз, когда новая страница добавляется (например, от XML-файла или базы данных), и перезапустите фильтр.
Я думаю, что Вы, вероятно, корректны в строительных нормах и правилах в страницы, которые требуют https, который перенаправляет к https версии, если они прибывают через http. Насколько Ваша ошибка сертификата идет, Вы могли перенаправить с полным путем (который включает www) вместо относительного пути для решения этой проблемы. Если у Вас есть какие-либо вопросы о том, как обнаружить, использует ли вызов https ИЛИ как получить полный путь текущего запроса, сообщенного мне. Оба довольно просты, но у меня есть пример кода, если Вам нужен он.
ОБНОВЛЕНИЕ - Josh, сертификаты, которые обрабатывают несколько субдоменов, называют подстановочными сертификатами. Проблема состоит в том, что они являются вполне немного более дорогими, чем стандартные сертификаты.
ОБНОВЛЕНИЕ 2: Еще одна вещь рассмотреть состоит в том, чтобы использовать страницу Master или производный класс для страниц та потребность SSL. Тот путь, вместо того, чтобы копировать код на каждой странице можно просто объявить это как тип SSLPage (или использовать соответствующую страницу Master), и сделайте, чтобы Ведущее устройство/Родительский класс обработало перенаправление. Снова, необходимо будет сделать некоторую обработку URL, если Вы проявите этот подход, но это довольно тривиально.