【发布时间】:2012-09-21 17:39:28
【问题描述】:
我有一个 .net API,客户使用它来获取我们根据他们的请求构建的 HTML 模板,然后将其发回给他们,以便他们可以在他们的页面上绘制它。
我想知道的只是 API 特定行为的最佳实践案例。它的设置使得我们为模板中的所有链接和图像/资产输入的协议与传入请求的协议相匹配,以避免在通过 https 请求/页面发送 http 内容时出现那些烦人的混合内容安全消息。
有人告诉我,我应该将我们交付的内容更改为始终使用 https 协议,即使在通过 http 请求调用时也是如此。我已经在这里查看了很多其他问题,例如this one here,但它们都与我正在做的事情相反。
所以我的问题是,除了仅使用 https 的性能差异之外,我是否有理由不强制所有内容都是 https,即使从 http 位置也是如此?
【问题讨论】:
-
客户端不支持 https 或不信任您的证书。我怀疑两者都会发生,但你问了一个原因。
-
我不认为这样做没有实际问题,但我觉得它不正确,所以我想确定一下。