我知道protocol-relative URLs,它通常是在可以使用HTTP或HTTPS加载的页面上提供脚本或其他资源的正确解决方案。
但是,我有一个脚本,我希望始终通过HTTPS提供服务,即使它正在加载的页面是通过HTTP提供的。抛开明显的潜在安全问题,将HTTP和HTTPS内容混合在一起(也就是说,通过HTTP服务的某些脚本的MITM攻击理论上可用于注入用于从通过HTTPS提供的脚本中读取内容的漏洞代码),这是一个坏的任何其他原因的想法?例如,这会在任何旧版本的IE中引起混合内容警告吗?
答案 0 :(得分:7)
都能跟得上!至少,不是任何仍在流行使用的浏览器。
保罗·爱尔兰(谷歌浏览器的开发者之一,谦虚的着名编程博主和开源撰稿人)有这样的建议,在他的2010年博客帖子中提供2014年更新,The Protocol-relative URL(重点来自原文) :现在SSL是encouraged for everyone和doesn’t have performance concerns,此技术现在是反模式。如果您需要的资产在SSL上可用,则始终使用
https://资产。允许通过HTTP请求代码段为recent Github Man-on-the-side attack之类的攻击打开了大门。即使您的网站使用HTTP,请求HTTPS资产也始终是安全的,但反之则is not true。
Eric Mills’ guide to CDNs & HTTPS中的更多指南和详细信息。
如果Paul Irish说在HTTP页面上请求HTTPS资产很好,那对我来说就足够了。