我有一个 .net API,客户使用它来获取我们根据他们的请求构建的 HTML 模板,然后将其发回给他们,以便他们可以在他们的页面上绘制它。
我想知道的只是 API 特定行为的最佳实践案例。它的设置使得我们为模板中的所有链接和图像/资产输入的协议与传入请求的协议相匹配,以避免在通过 https 请求/页面发送 http 内容时出现那些令人讨厌的混合内容安全消息。
我被告知我应该将我们交付的内容更改为始终使用 https 协议,即使通过 http 请求调用也是如此。我已经在这里查看了很多其他问题,比如这里的这个,但它们都与我正在做的事情相反。
所以我的问题是,除了仅使用 https 的性能差异之外,我是否有理由不强制所有内容都为 https,即使来自 http 位置?