Включить Javascript / CSS через https? - PullRequest
4 голосов
/ 14 января 2012

В настоящее время я сталкиваюсь с проблемой, что хочу обслуживать статический контент через субдомен static.mydomain.tld, но мой сертификат SSL действителен только для моего основного домена mydomain.tld

Должен ли я включать мой javascript, css и изображения через безопасное соединение, когда используется https, или я все еще могу использовать http://static.mydomain.tld.

Я бы изменил свой javascript , чтобыAJAX-запросы будут использовать https для основного домена.

Или я не должен использовать поддомен и включать файлы из основного домена?

(я думал оиспользуя поддомен, потому что я прочитал, что статический контент должен обслуживаться с домена, на котором не установлены файлы cookie)

Спасибо!

1 Ответ

3 голосов
/ 14 января 2012

Должен ли я включать мой javascript, css и изображения через безопасное соединение при использовании https

Да. В противном случае он может быть перехвачен и модифицирован. Замененные изображения могут предоставлять пользователям ложные данные. Замененные JS и CSS (поскольку CSS может встраивать JS) могут выполнять сценарии и пропускать данные из безопасной среды.

не должен ли я использовать поддомен и включать файлы из основного домена?

Это вариант.

Вы также можете получить другой сертификат SSL для другого имени хоста.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...