ssl 443 端口添加: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; 这样就没问题了。
80 代表着没有用 https ,那么登录的密码什么的就都是明码传送的。即使抛开这样的漏洞不说,没有证书,也容易让人制造假的网站而无法验证。 所以现在的大趋势是尽可能使用 https 加证书,至少登录画面等有机密信息的部分要得是 https 的吧。
俩人都挺水的 等级保护那帮人基本就是行业挑剩下的人吧,懂点技术,但又不怎么懂技术 http 明文不 SSL ,容易被窃听,但是等级保护关注的难道不是攻击么? 浏览器默认都 https ;默认 http 的时代已经过去了
