現在、https 経由でのみアクセスできるドメインで提供されている画像コンテンツがあります。http 経由でアクセスするページで https パスを使用して画像を提供することのマイナス面は何ですか? キャッシングに関する考慮事項はありますか? データベースから取得した絶対画像パスを格納するために HttpRuntime.Cache オブジェクトを使用しています。
画像が https 経由でしかアクセスできない場合、プロトコル相対 URL を使用する利点はないと思いますか?
別の仮想ディレクトリを設定して、http 経由で画像コンテンツも提供する必要がある理由はありますか?
HTTP ページ内で HTTPS 経由で提供されるコンテンツが特に機密性が高くなく、HTTP 経由でも同様に提供できる場合、マイナス面はありません (サーバーの構成によっては、パフォーマンスの問題が発生する可能性がありますが、必ずしも多くはありません。また、キャッシュが不足している可能性があります。一部の HTTPS コンテンツをキャッシュできます)。
HTTPS を介したコンテンツ サーバーが HTTPS の使用を動機付けるのに十分なほど敏感である場合、これは本当に悪い習慣です。
HTTPS が使用され、正しく使用されていることを確認することは、クライアントとそのユーザーの責任です (たとえば、 HTTP から HTTPS への自動リダイレクトが部分的にしか役に立たないのはこのためです)。一部は証明書検証の技術に関係していますが、HTTPS によって提供されるセキュリティの多くは、ユーザーが次のことを行うという事実に基づいています。
最初のポイントは、技術的な観点から、HTTP Strict Transport Security によって対処できます。
2 つ目は、対話を使用する必要があります。銀行の Web サイトにアクセスする場合は、有効な証明書を持つサイトである必要があるだけでなく、たとえば、それが実際に銀行のドメイン名であることも確認する必要があります。
HTTPS コンテンツを HTTP ページに埋め込むと、これが無効になります。ユーザーはどのサイトが使用されているかを確認できず、実際には HTTPS が使用されていることを確認できないからです。サードパーティの HTTPS コンテンツを HTTPS ページに埋め込むことも、ある程度この問題を引き起こします (これは3-D セキュアの問題の 1 つであり、 HTTPS を使用して提供される可能性がありますが、iframe を使用してもどのサイトが作成されるかはわかりません)。実際に使用されています。)