答案很简单——是的，开发人员使用 TLS。原因如下：

1. 您需要在 cookie 上设置安全标志
2. 您要确保访问的所有资源都是 https
3. 将代码部署到生产环境时，您可能会忘记打开 TLS 依赖项
4. 这很容易做到。去使用 acme.sh 注册一个 let's encrypt cert 使用 DNS 进行域验证。创建指向 127.0.0.1 的 DNS A 记录。完毕。
5. 不要使用自签名证书，因为我不希望你养成点击过去 TLS 警告的习惯

如果你真的不想...

然后你需要一个部署后的补偿控制。这意味着扫描您的网站以查找 TLS 依赖项，例如 cookie 安全标志。使用 qualys free 扫描仪来探测您的站点是否存在此类问题。