Смешивание безопасного и незащищенного контента на веб-страницах - это хорошая идея?

Question

Я пытаюсь найти способы ускорить мой безопасный веб-сайт. Поскольку существует много CSS-изображений, которые необходимо загрузить, это может замедлить работу сайта, поскольку защищенные ресурсы не кэшируются на диск браузером и должны извлекаться чаще, чем на самом деле.

Одна вещь, которую я рассмотрел, возможно, это перемещение изображений на основе стилей и библиотек JavaScript в незащищенный поддомен, чтобы браузер мог кэшировать эти ресурсы, которые не представляют угрозы безопасности (градиент не совсем чувствителен материал).

Я хотел посмотреть, что другие люди думают о том, чтобы сделать что-то подобное. Является ли это осуществимой идеей, или я должен пойти на оптимизацию своего сайта другими способами, такими как использование спрайт-карт CSS и т. Д. Для уменьшения запросов и пропускной способности?

Answer 1

Браузеры (особенно IE) раздражаются и предупреждают пользователей о смешанном контенте на странице. Мы попробовали это сделать, и несколько пользователей позвонили, чтобы спросить о безопасности нашего сайта. Я бы не рекомендовал это. Если пользователи теряют чувство безопасности при использовании вашего сайта, дополнительная скорость не стоит.

Answer 2

Не смешивайте контент, нет ничего более раздражающего, чем необходимость пойти и нажать кнопку «Да» в этом диалоговом окне. Я бы хотел, чтобы IE всегда разрешал мне показывать сайты со смешанным контентом. Как сказал Крис, не делай этого.

Если вы хотите оптимизировать свой сайт, есть много способов, если SSL - это единственный способ купить аппаратный ускоритель .... хммм, если вы загрузите изображение с помощью http, оно будет кэшировано, если вы загрузите его с помощью https ? Просто побочный вопрос, который мне нужно выяснить.

Answer 3

Это вообще не рекомендуется. Причина, по которой браузеры создают такие проблемы с небезопасным контентом на защищенных страницах, заключается в том, что он предоставляет информацию о текущем сеансе и делает вас уязвимыми для атак «человек посередине». Я допускаю, что, вероятно, третья сторона не может сделать, чтобы прослушать почтенную информацию, если единственным незащищенным контентом являются изображения, но CSS может содержать ссылку на javascript / vbscript через файлы поведения (IE). Если ваш javascript обслуживается небезопасно, мало что можно сделать, чтобы не допустить, чтобы скрипт румян очистил вашу веб-страницу в неподходящее время.

В лучшем случае вы могли бы получить способ создания защищенного содержимого iframing, чтобы сохранить внешний вид. Как потребитель я действительно не люблю это, но как веб-разработчик я должен был сделать это прежде из-за других прагматичных вариантов. Но, честно говоря, с таким же количеством дефектов, если не больше, как и в конце концов, вы надеетесь, что что-то не нарушает целостность небезопасного контента , так что он может содержать защищенный контент , а не какой-то альтернативный контент .

Это просто плохая идея с точки зрения безопасности.

Answer 4

Имейте в виду, что в IE 7 есть проблемы со смешиванием защищенных и незащищенных элементов на одной странице, поэтому это может привести к тому, что некоторые пользователи не смогут правильно просматривать все содержимое ваших страниц. Не то чтобы я одобрял IE 7, но недавно мне пришлось заняться этим вопросом, и с этим тяжело иметь дело.