一部の E コマース アプリケーションでは、組み込みsrc="//domain.com/file.js"たい外部ホスト スクリプトを参照する必要がある場合に使用し始めました。私の E コマース アプリケーションでは、すべてのページにフォームがあるわけではないため、実際にはすべてのページが使用httpsされるわけではありません。
httpこれはショートカットでもあり、安全でないIEの警告をいつでも回避できるため、常にこれを使用することに実際に不利な点があるかどうか疑問に思っています。
2 に答える
5
ページがロードされるのと同じプロトコルからリソースをロードすることが意図されている場合、それを使用することはそれを達成するための完璧な方法です。httpただし、ページが現在提供されている場合でも、いくつかのリソースをロードする必要がある場合があります (リソースhttpsがでのみ提供されているhttp場合や、ページ上のすべての画像を暗号化しないようにしてサーバーの負荷を軽減したいとします)。その場合、プロトコル名を明示的に指定する必要があります。
于 2010-02-24T23:52:22.613 に答える
2
@Mehrdad_Afshari HTTP からリソースを調達すると、HTTPS が特に保護するはずの MITM 攻撃によるインジェクションの脆弱性が発生する可能性があります。古典的な例は、HTTP 経由でスクリプトを取得することですが、過去にバグがあり ( http://www.adambarth.com/papers/2009/barth-caballero-song.pdfを参照)、IMG タグを介してスクリプトを挿入できる可能性があります。 MITMによって。このような懸念から、ForceHTTPS の作業 ( https://crypto.stanford.edu/forcehttps/ ) ではスキーム相対リンクが特に推奨されました。
于 2010-02-24T23:56:25.063 に答える