在我开始使用的一些电子商务应用程序src="//domain.com/file.js"中,我需要引用我想要包含的外部托管脚本。在我的电子商务应用程序中,并非所有页面都实际使用https,因为并非每个页面都有表单。
我想知道总是使用它是否真的有任何缺点,因为它也是一个捷径http,你总是可以避免不安全的 IE 警告。
问问题
267 次
2 回答
5
如果您的意图是从与页面加载相同的协议加载资源,那么使用它是完成它的完美方式。http但是,即使您的页面当前在下面提供服务,您也可能需要加载一些资源https(假设仅提供资源,http或者您希望通过不加密页面上的每个图像来减少服务器上的负载)。在这种情况下,您需要明确指定协议名称。
于 2010-02-24T23:52:22.613 回答
2
@Mehrdad_Afshari 从 HTTP 采购资源可以打开来自 MITM 攻击的注入漏洞,HTTPS 专门用来保护您免受这些攻击。经典示例是通过 HTTP 获取脚本,但过去存在允许通过 IMG 标签注入脚本的错误(请参阅http://www.adambarth.com/papers/2009/barth-caballero-song.pdf )由中间人。由于存在这样的问题,在 ForceHTTPS 工作 ( https://crypto.stanford.edu/forcehttps/ ) 中特别推荐了相对于方案的链接。
于 2010-02-24T23:56:25.063 回答