Есть ли причина НЕ использовать src = "// domain.com/file.js", который является динамическим протоколом?

Question

В некоторых из моих приложений электронной коммерции я начал использовать src="//domain.com/file.js" в тех случаях, когда мне нужно было ссылаться на внешние скрипты, которые я хотел включить. В моих приложениях электронной коммерции не все страницы на самом деле используют https, так как не каждая страница имеет форму.

Мне интересно, есть ли какой-либо недостаток в том, чтобы всегда использовать это, так как это также ярлык к http, и вы всегда можете всегда избегать небезопасного предупреждения IE.

Answer 1

Если вы намереваетесь загружать ресурсы по тому же протоколу, с которым загружается страница, то использование этого является идеальным способом для достижения этой цели. Однако вам может потребоваться загрузить некоторые ресурсы из http, даже если ваша страница в данный момент обслуживается с https (скажем, ресурс обслуживается только на http или вы предпочитаете уменьшить нагрузку на сервер, не делая его зашифрованным каждое изображение на странице). В этом случае вам нужно явно указать имя протокола.

Answer 2

@ Mehrdad_Afshari Источники ресурсов из HTTP могут открыть уязвимости инъекций от MITM-атак, от которых HTTPS специально должен защищать вас. Классическим примером является использование сценария через HTTP, но в прошлом были ошибки (см. http://www.adambarth.com/papers/2009/barth-caballero-song.pdf), которые могли позволить внедрение сценария через тег IMG посредством MITM. Ссылки, относящиеся к схеме, были особенно рекомендованы в работе ForceHTTPS ( https://crypto.stanford.edu/forcehttps/) из-за подобных проблем.