Google应用引擎与HTTPS策略

Question

我正在设计我的第一个GAE应用程序，显然需要使用HTTPS作为登录功能(不能以明文方式发送用户的UID和密码！)

但是，在初次登录之后，我对如何处理请求感到困惑/紧张。在我看来，我有两个策略：

• 将HTTPS用于任何事物
• 从HTTPS (用于登录)切换回普通ole的HTTP

第一个选项更安全，但可能会引入性能开销(?)可能还会把我的服务费寄到屋顶上。第二种选择更快、更容易，但安全性较低。

这里的另一个因素是，这将是一个“单页应用程序”(使用GWT)，用户界面的某些部分将能够接受支付，并将需要安全地传输财务数据。因此，一些AJAX请求可以是HTTP，但另一些则必须是HTTPS。

所以我问：

• GAE有一个精巧的表来解释传入/输出带宽资源，但从未具体定义用于HTTPS的I/O带宽可用于多少。有人知道这里的限制吗？我计划使用“启用计费”，并为应用程序(以及更高的资源限制)支付一点点费用。
• 是否可能有一个GWT/单页应用程序，UI的某些部分使用HTTP，而其他部分则使用HTTPS？或者是“全部还是什么都没有”？
• 是否有任何真正的性能听到使用全HTTPS战略？

理解这些将帮助我在HTTP/S混合解决方案还是纯HTTPS解决方案之间做出决定。提前感谢！

Answer 1

如果您开始混合http和https请求，您就会像使用http一样安全，因为任何http请求都可以被拦截，并可能引发XSS攻击。

如果您是认真对待您的安全性，请阅读它，假设您只需要为合理的数据提供https，并使用http传输其余的数据将给您带来很大的麻烦。

Answer 2

对于传入的带宽，您为http和https付费。也是一样的，您应该会看到实例时间上的任何差异。唯一的区别是你需要支付的一次性支付 (每个月)