【发布时间】:2011-01-20 19:04:39
【问题描述】:
在我的一些电子商务应用程序中,我已经开始使用src="//domain.com/file.js",以防我需要引用我想包含的外部托管脚本。在我的电子商务应用程序中,并非所有页面都使用https,因为并非每个页面都有表单。
我想知道总是使用它是否真的有任何缺点,因为它也是http 的快捷方式,您可以始终避免不安全的 IE 警告。
【问题讨论】:
标签: javascript href hyperlink src
【发布时间】:2011-01-20 19:04:39
【问题描述】:
如果您的意图是从加载页面的相同协议加载资源,那么使用它是完成它的完美方式。但是,您可能需要从http 加载一些资源,即使您的页面当前在https 下提供(假设资源仅在http 上提供,或者您希望通过不加密来减少服务器上的负载页面上的每张图片)。在这种情况下,您需要明确指定协议名称。
【讨论】:
@Mehrdad_Afshari 从 HTTP 采购资源可以打开来自 MITM 攻击的注入漏洞,HTTPS 专门用来保护您免受攻击。经典示例是通过 HTTP 获取脚本,但过去有一些错误(请参阅http://www.adambarth.com/papers/2009/barth-caballero-song.pdf)可能允许 MITM 通过 IMG 标签进行脚本注入。由于存在这样的问题,在 ForceHTTPS 工作 (https://crypto.stanford.edu/forcehttps/) 中特别推荐了相对于方案的链接。
【讨论】:
-
是的。我明白。我不是特别在谈论
<script>。如果您要链接到可下载的视频文件怎么办?开销可能太高,您的服务器无法处理。 -
我也不是特别在谈论