中华人民共和国船舶吨税暂行条例(国务院令第610号)

  中华人民共和国船舶吨税暂行条例(国务院令第610号)
  

中华人民共和国国务院令
  

《中华人民共和国船舶吨税暂行条例》已经2011年11月23日国务院第182次常务会议通过,现予公布,自2012年1月1日起施行。
     二○一一年十二月五日
  

中华人民共和国船舶吨税暂行条例
  

第一条自中华人民共和国境外港口进入境内港口的船舶,应当依照本条例缴纳船舶吨税。
  第二条吨税的税目、税率依照本条例所附的《吨税税目税率表》执行。
  《吨税税目税率表》的调整,由国务院决定。
  第三条吨税设置优惠税率和普通税率。
  中华人民共和国籍的应税船舶,船籍国与中华人民共和国签订含有相互给予船舶税费最惠国待遇条款的条约或者协定的应税船舶,适用优惠税率。
  其他应税船舶,适用普通税率。
  第四条吨税按照船舶净吨位和吨税执照期限征收。
  应税船舶负责人在每次申报纳税时,可以按照《吨税税目税率表》选择申领一种期限的吨税执照。
  第五条吨税的应纳税额按照船舶净吨位乘以适用税率计算。
  第六条吨税由海关负责征收。海关征收吨税应当制发缴款凭证。
  应税船舶负责人缴纳吨税或者提供担保后,海关按照其申领的执照期限填发吨税执照。
  第七条应税船舶在进入港口办理入境手续时,应当向海关申报纳税领取吨税执照,或者交验吨税执照。应税船舶在离开港口办理出境手续时,应当交验吨税执照。
  应税船舶负责人申领吨税执照时,应当向海关提供下列文件:
  船舶国籍证书或者海事部门签发的船舶国籍证书收存证明;
  第八条吨税纳税义务发生时间为应税船舶进入港口的当日。
  应税船舶在吨税执照期满后尚未离开港口的,应当申领新的吨税执照,自上一次执照期满的次日起续缴吨税。
  应纳税额在人民币50元以下的船舶;
  自境外以购买、受赠、继承等方式取得船舶所有权的初次进口到港的空载船舶;
  吨税执照期满后24小时内不上下客货的船舶;
  避难、防疫隔离、修理、终止运营或者拆解,并不上下客货的船舶;
  军队、武装警察部队专用或者征用的船舶;
  依照法律规定应当予以免税的外国驻华使领馆、国际组织驻华代表机构及其有关人员的船舶;
  第十条在吨税执照期限内,应税船舶发生下列情形之一的,海关按照实际发生的天数批注延长吨税执照期限:
  避难、防疫隔离、修理,并不上下客货;
  应税船舶因不可抗力在未设立海关地点停泊的,船舶负责人应当立即向附近海关报告,并在不可抗力原因消除后,依照本条例规定向海关申报纳税。
  第十一条符合本条例第九条第五项至第八项、第十条规定的船舶,应当提供海事部门、渔业船舶管理部门或者卫生检疫部门等部门、机构出具的具有法律效力的证明文件或者使用关系证明文件,申明免税或者延长吨税执照期限的依据和理由。
  第十二条应税船舶负责人应当自海关填发吨税缴款凭证之日起15日内向指定银行缴清税款。未按期缴清税款的,自滞纳税款之日起,按日加收滞纳税款‰的滞纳金。
  第十三条应税船舶到达港口前,经海关核准先行申报并办结出入境手续的,应税船舶负责人应当向海关提供与其依法履行吨税缴纳义务相适应的担保;应税船舶到达港口后,依照本条例规定向海关申报纳税。
  下列财产、权利可以用于担保:
  汇票、本票、支票、债券、存单;
  银行、非银行金融机构的保函;
  海关依法认可的其他财产、权利。
  第十四条应税船舶在吨税执照期限内,因修理导致净吨位变化的,吨税执照继续有效。应税船舶办理出入境手续时,应当提供船舶经过修理的证明文件。
  第十五条应税船舶在吨税执照期限内,因税目税率调整或者船籍改变而导致适用税率变化的,吨税执照继续有效。
  因船籍改变而导致适用税率变化的,应税船舶在办理出入境手续时,应当提供船籍改变的证明文件。
  第十六条吨税执照在期满前毁损或者遗失的,应当向原发照海关书面申请核发吨税执照副本,不再补税。
  第十七条海关发现少征或者漏征税款的,应当自应税船舶应当缴纳税款之日起1年内,补征税款。但因应税船舶违反规定造成少征或者漏征税款的,海关可以自应当缴纳税款之日起3年内追征税款,并自应当缴纳税款之日起按日加征少征或者漏征税款‰的滞纳金。
  海关发现多征税款的,应当立即通知应税船舶办理退还手续,并加算银行同期活期存款利息。
  应税船舶发现多缴税款的,可以自缴纳税款之日起1年内以书面形式要求海关退还多缴的税款并加算银行同期活期存款利息;海关应当自受理退税申请之日起30日内查实并通知应税船舶办理退还手续。
  应税船舶应当自收到本条第二款、第三款规定的通知之日起3个月内办理有关退还手续。
  第十八条应税船舶有下列行为之一的,由海关责令限期改正,处2000元以上3万元以下罚款;不缴或者少缴应纳税款的,处不缴或者少缴税款50%以上5倍以下的罚款,但罚款不得低于2000元:
  未按照规定申报纳税、领取吨税执照的;
  未按照规定交验吨税执照及其他证明文件的。
  第十九条吨税税款、滞纳金、罚款以人民币计算。
  第二十条本条例下列用语的含义:
  净吨位,是指由船籍国政府授权签发的船舶吨位证明书上标明的净吨位。
  非机动船舶,是指自身没有动力装置,依靠外力驱动的船舶。
  非机动驳船,是指在船舶管理部门登记为驳船的非机动船舶。
  捕捞、养殖渔船,是指在中华人民共和国渔业船舶管理部门登记为捕捞船或者养殖船的船舶。
  拖船,是指专门用于拖动运输船舶的专业作业船舶。拖船按照发动机功率每1千瓦折合净吨位吨。
  吨税执照期限,是指按照公历年、日计算的期间。
  第二十一条本条例自2012年1月1日起施行。1952年9月16日政务院财政经济委员会批准、1952年9月29日海关总署发布的《中华人民共和国海关船舶吨税暂行办法》同时废止。
  

吨税税目税率表

雅鹿男装 打造新男装主义

  雅鹿男装 打造新男装主义
  

  

雅鹿专注服装40余年,作为国内大型服装企业,引领服装行业发展,形成了强有力的品牌竞争力。而雅鹿男装作为雅鹿集团的全资子公司,在新男装主义的品牌口号之下,适应当下需求,开拓创新,精益求精,形成自己独特的品牌风格。
  
雅鹿男装 打造新男装主义
  

“好的商业模式是成功的一半”, 近年雅鹿男装顺应市场发展,不断创新,基于市尝客户,充分整合社会资源,打造了一条属于自己的特色加盟模式。并在全国强势发展,相继在江苏、安徽、河南、浙江、山西、陕西、山东、河北、宁夏、四川等全国各级重点区域、城市连连开店。模式、渠道、产品备受好评,展现了雅鹿男装平稳上升的健康发展新态势。面对挑战与机遇,雅鹿男装不断超越自我,利用自身品牌与智慧化技术不断加大创新,生产使用不同层次需求的商品。
  

  

在加盟的过程中雅鹿提供了4个方面的全方位支持。门店运营支持,从市尝店面、人员、货品等方面为加盟商提供平全程服务;系统培训支持,全方位、多层次的培训体系、提高分店的运营能力;广告支持,门店宣传设计和广告策划、提升品牌知名度;权益保护,加盟店的审核严格,开设后保障加盟商的盈利空间。
  

  

同时雅鹿男装的项目具有极大的市场竞争优势。强大的公司实力,备受青睐的运营模式,对客户及店面注入强劲的动力,保障门店的稳定性。精准的品牌定位,以中青年为销售主题,其拥有成熟的消费理念及稳定的消费能力,确保加盟商可持续经营。产品自主研发,为消费者提供最具性价比的产品,满足不同群体的需求。专业的团队支持,通过系统化的培训打造高素质管理人才。先进的管理体系,为供应链各方构建一个统一的资源平台。
  

  

优质的模式加上优质的产品,既保证了客户的利益,有保证了消费者的权益。“在八大统一标准”之下,形象、价格、专修、招聘、培训、结算、配送、管理打造一体式的加盟模式,抓住市场需求的同时,打造具有品牌价值的核心产品。2016新男装主义,新潮、新范、新格调,适应品牌的风格定位,休闲、商务、新潮,打造适应不同层次需求的系列产品。
  

都市休闲系列,设计风格简约大气,面料舒适自然,更加贴近生活,是追求自然和谐的人们对待生活最好的体,满足大众需求的同时深度挖掘人们对生活的热爱。经典商务系列,设计风格得体考究,采用高档、功能性面料,展现穿着者的优雅大气,适应职场精英男士,且不断探寻生活体验并讲究生活品质的主流消费群体。时尚潮流系列,设计风格时尚前卫,色彩明亮张扬,分割、拼接、撞色等设计手法的应用使产品更具活力,是年轻、时尚、追求自由一族的首眩
  

保证合作伙伴的利益,和雅鹿迎迎头共进,创造更多的财富,共创发展之路。号:jsylnz,我们会定期推出更多的资讯。

LUSH岚舒 给你带来非同一般的磨砂体验

  LUSH岚舒 给你带来非同一般的磨砂体验
  为了保护生态环境,LUSH岚舒提供给顾客非同一般的磨砂产品,拒绝塑料颗粒!取而代之的是各种天然磨砂成分,例如碎杏仁、砂糖和海盐,这些成分同样可以有效去除死皮,让肌肤仿佛被打磨抛光,重现出原有的自然光泽,让肌肤犹如重获新生,

除了通过详细的介绍和试用来让更多人喜欢上我们的产品外,LUSH岚舒也一直致力于让更多人可以了解我们的努力,让一些细小的改变累积,为成就更美好的世界而努力,Lush岚舒带领化妆品业界,举办提高大众意识运动,纠正过度包装惯例,及开拓“零包装”产品直接出售予客户。
  你知道吗?很多磨砂产品中的颗粒其实是塑料!这些含有塑料颗粒的磨砂产品,在一定程度上会严重影响我们的海洋生态。为了保护生态环境,LUSH岚舒提供给顾客非同一般的磨砂产品,拒绝塑料颗粒!取而代之的是各种天然磨砂成分,例如碎杏仁、砂糖和海盐,这些成分同样可以有效去除死皮,让肌肤仿佛被打磨抛光,重现出原有的自然光泽,让肌肤犹如重获新生。
  

LUSH岚舒希望能让更多人对自己购买且使用的产品成分有更多的了解,这样能够更加清楚的知道什么才是最适合自己的磨砂产品。在制作磨砂产品的过程中,对于磨砂成分我们有多种多样的选择,但针对不同产品的选择并不是随机的,我们只希望为你制作出最合适的磨砂产品,为你带来非同一般的磨砂体验。
  

早上总是觉得昏昏沉沉?让LUSH岚舒咖啡面膜叫醒你的肌肤!满载碎咖啡豆为你的肌肤磨砂提亮的同时,咖啡浸泡液的浓郁香气也会让你欲罢不能。
  

LUSH岚舒海洋水晶磨砂膏,将为你带来较为强效的磨砂体验,在产品中加入了大量细海盐来帮助去除面部及身体皮肤上的老化角质,配合牛油果脂和椰子油,在有效去角质的同时,滋养保湿,令肌肤细致柔软。
  

而针对幼嫩的唇部肌肤,LUSH岚舒唇部磨砂则为你带来更为轻柔的磨砂体验,给你的双唇带来新生的活力。蕴含细砂糖的唇部磨砂产品,加入了不同的精油成分,在带走唇部死皮的同时,滋润修护你的双唇。让你每天轻松上妆,甚至遇见了喜欢的人,也能从双唇开始,展现自信的魅力。
  

LUSH岚舒的专业LUSH岚舒香港官方站及LUSH岚舒天猫海外旗舰店咨询客服人员哦。
  

除了通过详细的介绍和试用来让更多人喜欢上我们的产品外,LUSH岚舒也一直致力于让更多人可以了解我们的努力,让一些细小的改变累积,为成就更美好的世界而努力。据相关研究表明,约140克的磨砂膏就含有超过300,000颗微小的塑料颗粒,由于塑料颗粒体积太小,污水处理系统无法将它们过滤,它们便会流入湖泊、海洋以及一些动物的栖息地,对海洋环境造成极大的影响。为了避免造成环境污染,LUSH岚舒选择使用天然成分来替代塑料颗粒,碎杏仁、砂糖、碎米、燕麦片及碎红豆,它们都能成为有效的磨砂成分,为肌肤带走老旧角质,海盐作为天然的磨砂颗粒,更能为肌肤补充矿物质、提亮肤色。
  
LUSH岚舒 给你带来非同一般的磨砂体验
  

LUSH岚舒呼吁大家成为塑料颗粒的终结者,选择具有卓越功效的天然成分来呵护肌肤,拒绝使用会伤害生态环境的塑料颗粒。
  

Lush岚舒于1995年在英国创立,已于49个国家开设超过900间分店。Lush岚舒一直致力采用新鲜材料如有机水果及蔬菜作为原材料,制造色彩缤纷及安全实用的身体及面部产品,其中多款创新有趣的产品更获得产品专利权,如广受欢迎的固体洗发皂、汽泡弹、固体牙膏粒和沐浴啫喱等。多年来,Lush岚舒在努力追求制作新产品的同时,更切实成为道德企业的代表。Lush岚舒主动打击动物测试、支持公平贸易及社区贸易活动,并严格执行有关政策。Lush岚舒带领化妆品业界,举办提高大众意识运动,纠正过度包装惯例,及开拓“零包装”产品直接出售予客户。Lush岚舒荣获防止虐待动物协会2006及2007年良好商业将、人类道德对待动物组织2006年动物福利先锋奖及国际动物福利基金2010年“企业年度奖”。
  

Lush岚舒是全英国头十名最具道德奖项之企业,联合创办人Mark Constantine和Mo Constantine夫妇因极具良心的经营理念,成功于2011年获颁大英帝国勋章之英国官佐勋章。Lush岚舒一直本着尊重生命,爱护地球为公司核心信念,严格实行环保及打击动物测试政策,选用不会采用含动物成分及参与动物测试的供应商,我们期望带动所有人一步一步改变世界。
  

早上总是觉得昏昏沉沉?让LUSH岚舒咖啡面膜叫醒你的肌肤!满载碎咖啡豆为你的肌肤磨砂提亮的同时,咖啡浸泡液的浓郁香气也会让你欲罢不能,

而针对幼嫩的唇部肌肤,LUSH岚舒唇部磨砂则为你带来更为轻柔的磨砂体验,给你的双唇带来新生的活力,

LUSH岚舒呼吁大家成为塑料颗粒的终结者,选择具有卓越功效的天然成分来呵护肌肤,拒绝使用会伤害生态环境的塑料颗粒,Lush岚舒一直本着尊重生命,爱护地球为公司核心信念,严格实行环保及打击动物测试政策,选用不会采用含动物成分及参与动物测试的供应商,我们期望带动所有人一步一步改变世界。

最新通宝娱乐游戏官网体验?

  最新通宝娱乐游戏官网体验?
  

早期的 IE 在发现 Mixed Content 请求时,会弹出「是否只查看安全传送的页内容?」这样一个模态对话框,一旦用户选择「是」,所有 Mixed Content 资源都不会加载;选择「否」,所有资源都加载,需要注意的是upgrade-insecure-requests只替换协议部分,所以只适用于 HTTP/HTTPS 域名和路径完全一致的场景,CDN 要用到私钥时,通过加密通道将必要的参数传给 Key Server,由 Key Server 算出结果并返回即可。
  

最新通宝娱乐游戏官网体验?

通宝娱乐游戏官网是一家拥有多年博彩经验的专门专业为通宝tb222官网和通宝娱乐城提供线上游戏服务的在线娱乐网站。通宝娱乐游戏官网特点?
通宝娱乐游戏官网全力打造亚洲线上最好的国际娱乐城平台,平台具有真人美女荷官助阵, 信誉100%,豪华真人真钱在线电子游戏、体育投注、老虎机等百种玩法任您玩。阎赛杰在通宝tb222官网线上游戏找回了自己,在这里赚取属于他的第一桶,创业当老板不在只是梦想了。您如果要了解更多最新通宝娱乐游戏官网体验?请查看tb通宝娱乐客户端下载
  这篇文章主要介绍了关于启用 HTTPS 的一些经验分享,需要的朋友可以参考下
  

随着国内络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的站选择了全站 HTTPS。就在今天,免费提供证书服务的Let’s Encrypt项目也正式开放,HTTPS 很快就会成为 WEB 必选项。HTTPS 通过 TLS 层和证书机制提供了内容加密、身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充。本文分享一些启用 HTTPS 过程中的经验,重点是如何与一些新出的安全规范配合使用。至于 HTTPS 的部署及优化,之前写过很多,本文不重复了。
  

HTTPS 页中加载的 HTTP 资源被称之为 Mixed Content,不同浏览器对 Mixed Content 有不一样的处理规则。
  

早期的 IE 在发现 Mixed Content 请求时,会弹出「是否只查看安全传送的页内容?」这样一个模态对话框,一旦用户选择「是」,所有 Mixed Content 资源都不会加载;选择「否」,所有资源都加载。
  

比较新的 IE 将模态对话框改为页面底部的提示条,没有之前那么干扰用户。而且默认会加载图片类 Mixed Content,其它如 JavaScript、CSS 等资源还是会根据用户选择来决定是否加载。
  

现代浏览器,基本上都遵守了 W3C 的Mixed Content规范,将 Mixed Content 分为Optionally-blockable和Blockable两类:
  

Optionally-blockable类 Mixed Content 包含那些危险较小,即使被中间人篡改也无大碍的资源。现代浏览器默认会加载这类资源,同时会在控制台打印警告信息。这类资源包括:
  通过<img>标签加载的图片;
  通过<video>/<audio>和<source>标签加载的视频或音频;
  

除此之外所有的 Mixed Content 都是Blockable,浏览器必须禁止加载这类资源。所以现代浏览器中,对于 HTTPS 页面中的 JavaScript、CSS 等 HTTP 资源,一律不加载,直接在控制台打印错误信息。
  

前面所说都是桌面浏览器的行为,移动端情况比较复杂,当前大部分移动浏览器默认都允许加载 Mixed Content。也就是说,对于移动浏览器来说,HTTPS 中的 HTTP 资源,无论是图片还是 JavaScript、CSS,默认都会加载。
  

一般选择了全站 HTTPS,就要避免出现 Mixed Content,页面所有资源请求都走 HTTPS 协议才能保证所有平台所有浏览器下都没有问题。
  

CSP,全称是 Content Security Policy,它有非常多的指令,用来实现各种各样与页面内容安全相关的功能。这里只介绍两个与 HTTPS 相关的指令,更多内容可以看我之前写的《Content Security Policy Level 2 介绍》。
  

前面说过,对于 HTTPS 中的图片等Optionally-blockable类 HTTP 资源,现代浏览器默认会加载。图片类资源被劫持,通常不会有太大的问题,但也有一些风险,例如很多页按钮是用图片实现的,中间人把这些图片改掉,也会干扰用户使用。
  

通过 CSP 的block-all-mixed-content指令,可以让页面进入对混合内容的严格检测模式。在这种模式下,所有非 HTTPS 资源都不允许加载。跟其它所有 CSP 规则一样,可以通过以下两种方式启用这个指令:
  

Content-Security-Policy: block-all-mixed-content
  

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
  

历史悠久的大站在往 HTTPS 迁移的过程中,工作量往往非常巨大,尤其是将所有资源都替换为 HTTPS 这一步,很容易产生疏漏。即使所有代码都确认没有问题,很可能某些从数据库读取的字段中还存在 HTTP 链接。
  

而通过upgrade-insecure-requests这个 CSP 指令,可以让浏览器帮忙做这个转换。启用这个策略后,有两个变化:
  页面所有 HTTP 资源,会被替换为 HTTPS 地址再发起请求;
  页面所有站内链接,点击后会被替换为 HTTPS 地址再跳转;
  

跟其它所有 CSP 规则一样,这个指令也有两种方式来启用,具体格式请参考上一节。需要注意的是upgrade-insecure-requests只替换协议部分,所以只适用于 HTTP/HTTPS 域名和路径完全一致的场景。
  

在站全站 HTTPS 后,如果用户手动敲入站的 HTTP 地址,或者从其它地方点击了站的 HTTP 链接,依赖于服务端 301/302 跳转才能使用 HTTPS 服务。而第一次的 HTTP 请求就有可能被劫持,导致请求无法到达服务器,从而构成 HTTPS 降级劫持。
  

这个问题可以通过 HSTS来解决。HSTS 是一个响应头,格式如下:
  

Strict-Transport-Security: max-age=expireTime
  

max-age,单位是秒,用来告诉浏览器在指定时间内,这个站必须通过 HTTPS 协议来访问。也就是对于这个站的 HTTP 地址,浏览器需要先在本地替换为 HTTPS 之后再发送请求。
  

includeSubDomains,可选参数,如果指定这个参数,表明这个站所有子域名也必须通过 HTTPS 协议来访问。
  

preload,可选参数,后面再介绍它的作用。
  

HSTS 这个响应头只能用于 HTTPS 响应;站必须使用默认的 443 端口;必须使用域名,不能是 IP。而且启用 HSTS 之后,一旦站证书错误,用户无法选择忽略。
  

可以看到 HSTS 可以很好的解决 HTTPS 降级攻击,但是对于 HSTS 生效前的首次 HTTP 请求,依然无法避免被劫持。浏览器厂商们为了解决这个问题,提出了 HSTS Preload List 方案:内置一份列表,对于列表中的域名,即使用户之前没有访问过,也会使用 HTTPS 协议;列表可以定期更新。
  

目前这个 Preload List 由 Google Chrome 维护,Chrome、Firefox、Safari、IE 11 和 Microsoft Edge 都在使用。如果要想把自己的域名加进这个列表,首先需要满足以下条件:
  将所有 HTTP 流量重定向到 HTTPS;
  必须指定 includeSubdomains 参数;
  

即便满足了上述所有条件,也不一定能进入 HSTS Preload List,更多信息可以看这里。通过 Chrome 的chrome:/-internals/#hsts工具,可以查询某个站是否在 Preload List 之中,还可以手动把某个域名加到本机 Preload List。
  

对于 HSTS 以及 HSTS Preload List,我的建议是只要你不能确保永远提供 HTTPS 服务,就不要启用。因为一旦 HSTS 生效,你再想把站重定向为 HTTP,之前的老用户会被无限重定向,唯一的办法是换新域名。
  

对于大站来说,全站迁移到 HTTPS 后还是得用 CDN,只是必须选择支持 HTTPS 的 CDN 了。如果使用第三方 CDN,安全方面有一些需要考虑的地方。
  

HTTPS 可以防止数据在传输中被篡改,合法的证书也可以起到验证服务器身份的作用,但是如果 CDN 服务器被入侵,导致静态文件在服务器上被篡改,HTTPS 也无能为力。
  

W3C 的SRI规范可以用来解决这个问题。SRI 通过在页面引用资源时指定资源的摘要签名,来实现让浏览器验证资源是否被篡改的目的。只要页面不被篡改,SRI 策略就是可靠的。
  

有关 SRI 的更多说明请看我之前写的《Subresource Integrity 介绍》。SRI 并不是 HTTPS 专用,但如果主页面被劫持,攻击者可以轻松去掉资源摘要,从而失去浏览器的 SRI 校验机制。
  

另外一个问题是,在使用第三方 CDN 的 HTTPS 服务时,如果要使用自己的域名,需要把对应的证书私钥给第三方,这也是一件风险很高的事情。
  

CloudFlare 公司针对这种场景研发了 Keyless SSL 技术。你可以不把证书私钥给第三方,改为提供一台实时计算的 Key Server 即可。CDN 要用到私钥时,通过加密通道将必要的参数传给 Key Server,由 Key Server 算出结果并返回即可。整个过程中,私钥都保管在自己的 Key Server 之中,不会暴露给第三方。
  

CloudFlare 的这套机制已经开源,如需了解详情,可以查看他们官方博客的这篇文章:Keyless SSL: The Nitty Gritty Technical Details。
  

好了,本文先就写到这里,需要注意的是本文提到的 CSP、HSTS 以及 SRI 等策略都只有最新的浏览器才支持,详细的支持度可以去CanIUse查。切换到 HTTPS 之后,在性能优化上有很多新工作要做,这部分内容我在之前的博客中写过很多,这里不再重复,只说最重要的一点:既然都 HTTPS 了,赶紧上 HTTP/2 才是正道。

原文:
  

HTTPS 页中加载的 HTTP 资源被称之为 Mixed Content,不同浏览器对 Mixed Content 有不一样的处理规则,

历史悠久的大站在往 HTTPS 迁移的过程中,工作量往往非常巨大,尤其是将所有资源都替换为 HTTPS 这一步,很容易产生疏漏,

跟其它所有 CSP 规则一样,这个指令也有两种方式来启用,具体格式请参考上一节,

HTTPS 可以防止数据在传输中被篡改,合法的证书也可以起到验证服务器身份的作用,但是如果 CDN 服务器被入侵,导致静态文件在服务器上被篡改,HTTPS 也无能为力。