在网页上混合安全和非安全内容 - 这是一个好主意吗?

时间:2008-12-12 03:46:49

标签: web-optimization

我正试图想出加快我的安全网站的方法。因为需要加载很多CSS图像,所以它可能会降低网站速度,因为浏览器不会将安全资源缓存到磁盘,并且必须比实际需要更频繁地检索。

我考虑的一件事可能是将基于样式的图像和javascript库移动到非安全子域,以便浏览器可以缓存这些不会带来安全风险的资源(渐变不是完全敏感的材料)。

我想看看别人怎么想这样做。这是一个可行的想法,还是应该以其他方式优化我的网站,比如使用CSS sprite-maps等来减少请求和带宽?

4 个答案:

答案 0 :(得分:2)

浏览器(尤其是IE)对此有所了解并提醒用户页面上有混合内容。我们试了一下,让几个用户打电话来询问我们网站的安全性。我不推荐它。让用户在使用您的网站时失去安全感是不值得的。

答案 1 :(得分:1)

不要混合内容,没有什么比这更烦人了,然后点击该对话框上的是按钮。我希望IE会让我总是选择显示混合内容网站。正如克里斯所说,不要这样做。

如果你想优化你的网站,有很多方法,如果SSL是唯一的方式购买硬件加速器......嗯,如果你使用http加载图像,如果你用https加载它将被缓存?只是一个我需要了解的问题。

答案 2 :(得分:0)

这根本不可取。浏览器为安全页面上的不安全内容带来麻烦的原因是它暴露了有关当前会话的信息,使您容易受到中间人攻击。如果唯一不安全的内容是图像,我可能会批准第三方可能没有太多可以嗅探古老的信息,但CSS可以通过行为文件(IE)包含对javascript / vbscript的引用。如果你的javascript服务不安全,那么就没有太多办法可以防止胭脂脚本在不合时宜的时候抓取你的网页。

充其量,您可以通过iframing安全内容来保持外观和感觉。作为一个消费者,我真的不喜欢它,但作为一个网络开发者,我之前必须这样做,因为没有其他实用的选择。但是,坦率地说,这也有很多甚至更多的缺陷,毕竟,你希望某些东西不会违反不安全内容的完整性,以便它可以托管安全内容而不是 替代内容

从安全角度来看,这不是一个好主意。

答案 3 :(得分:0)

请注意,在IE 7中,在同一页面上混合安全和非安全项目存在问题,因此可能会导致某些用户无法正确查看您网页的所有内容。并不是说我支持IE 7,但最近我不得不调查这个问题,处理这个问题很痛苦。

豫ICP备18024241号-1