S3 (html、js、css など) でサイト全体をホストし、ページの読み込み時にデータベース (私にとっては EC2) と非同期に通信することで動的にできることに気付きました。index.html ファイルは S3 にありますが、クロスオリジン リクエストが「動的」サイトを持つようにすることができます。
人々がこれを行ったかどうか、また心に留めておくべきセキュリティ上の警告があるかどうか疑問に思っていますか?
私にとって、これは非常にスケーラブルな (そして安価な!) サーバー側アーキテクチャです。私のサーバーは 1 行の html を送信する必要はありません。唯一の負荷は、JSON のスニペットの送受信です。また、サーバーの負荷が高い場合に「静的」フラグを切り替えるのが非常に簡単になり、S3 からすべてを提供するだけです。
S3 の静的サイトは簡単で、CloudFront CDN サポートの追加は簡単です。
クロスドメイン資格はタプル {ドメイン、プロトコル、ポート} に基づいているため、クロスドメインの考慮事項が関係します。
ただし、標準のクロス ドメイン回避策は引き続き適用されます。
iFrame などを介してクロスドメインで通信するために使用した手法の例:
0) jsonp
1)アクセス制御許可元:
2) document.domainを設定して通信を許可する
S3 で静的アセットをホストする場合、JSONP は優れていますが、アセットではなく S3 から離れた Web サイトである場合におそらく最も効果を発揮します (ここでは、Web サイトは S3 であり、他のサーバーと通信しています)。
Access-Control-Allow-Origin は、最新のブラウザをすべて取得し、ドメイン全体で安全に、または安全に話すことができないようにします。IE は別の (より安全な) 標準を提案し、サポートしていますが、IE10 では CORS をサポートする予定です。
これは私の意見ですが、最新のブラウザー用にコーディングしている場合は、CORS ルートを使用してください。