全站SSL才是最安全的

事实上，在 PC 端上网很少有直接进入 HTTPS 网站的。例如支付宝网站，大多是从淘宝跳转过来，而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS，屏蔽对 HTTPS 的页面访问，用 HTTP 取而代之，那么用户也就永远无法进入安全站点了。

尽管地址栏里没有出现 HTTPS 的字样，但域名看起来也是正确的，大多用户都会认为不是钓鱼网站，因此也就忽视了。
因此，只要入口页是不安全的，那么之后的页面再安全也无济于事。
当然也有一些用户通过输网址访问的，他们输入了 www.alipaly.com 就敲回车进入了。然而，浏览器并不知道这是一个 HTTPS 的站点，于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在，其唯一功能就是重定向到自己 HTTPS 站点上。
劫持流量的中间人一旦发现有重定向到 HTTPS 站点的，显然不愿意让用户走这条不受自己控制的路。于是拦下重定向的命令，自己去获取重定向后的站点内容，然后再回复给用户。于是，用户始终都是在 HTTP 站点上访问，自然就可以无限劫持了。

劫持无处不在，所以服务商一定要全站部署SSL证书，网民自己要格外小心

恩恩恩恩，支持全站加密的是不是只有通配SSl才可以啊

Jacky6100 发表于 2014-10-30 08:55
恩恩恩恩，支持全站加密的是不是只有通配SSl才可以啊

如果站点是在一个域名下的子页的话，用单域名证书；如果是一个域名下的二级子域名，可以用通配；如果还有其它不同的域名，可以用多域名证书或者万能证书。