Apache 如何对http和https使用.htaccess仅提示一次?
我正在使用.htaccess保护位于的网站。安全页面重定向到,并再次获得apache登录提示 对于http和https,我们怎么可能只有1个apache登录提示Apache 如何对http和https使用.htaccess仅提示一次?,apache,.htaccess,https,prompt,Apache,.htaccess,Https,Prompt,我正在使用.htaccess保护位于的网站。安全页面重定向到,并再次获得apache登录提示 对于http和https,我们怎么可能只有1个apache登录提示 非常感谢。你不能。就浏览器而言,http:和https:是两个不同的网站,您无法让它告诉https:站点用户为http:站点输入了哪个密码。这样做通常是一个严重的安全漏洞,而且HTTP身份验证协议不够先进,不允许HTTP:服务器告诉浏览器,“可以为某个站点重复此密码”。(你为什么要相信一个仅仅由http:site提供给你的安全异常呢?)
非常感谢。你不能。就浏览器而言,http:和https:是两个不同的网站,您无法让它告诉https:站点用户为http:站点输入了哪个密码。这样做通常是一个严重的安全漏洞,而且HTTP身份验证协议不够先进,不允许HTTP:服务器告诉浏览器,“可以为某个站点重复此密码”。(你为什么要相信一个仅仅由http:site提供给你的安全异常呢?) 你为什么不通过https做所有的事情呢
或者,换言之,为什么要做任何需要通过普通HTTP进行身份验证的事情?那不是很安全。如果您的https站点上有值得https安全保护的内容,攻击者可以从不安全的http连接嗅探密码。您不能。就浏览器而言,http:和https:是两个不同的网站,您无法让它告诉https:站点用户为http:站点输入了哪个密码。这样做通常是一个严重的安全漏洞,而且HTTP身份验证协议不够先进,不允许HTTP:服务器告诉浏览器,“可以为某个站点重复此密码”。(你为什么要相信一个仅仅由http:site提供给你的安全异常呢?) 你为什么不通过https做所有的事情呢
或者,换言之,为什么要做任何需要通过普通HTTP进行身份验证的事情?那不是很安全。如果您的https站点上有值得https安全保护的内容,攻击者可以通过不安全的http连接嗅探密码。谢谢。有道理。htaccess认证只是暂时的,用于在测试期间锁定整个站点。真正的身份验证通过https在站点内进行,与.htaccess.Thank分开。有道理。htaccess认证只是暂时的,用于在测试期间锁定整个站点。真正的身份验证通过https在站点内进行,与.htaccess分开。