我们正在创建受 https 保护的典型网络应用程序。为了能够缓存静态资源,我想通过 http 公开图像、javascript 文件等。否则他们不会被缓存。从安全的角度来看,这是否可取?涉及哪些风险?
编辑:我希望代理和浏览器缓存静态内容。实际上,这里最重要的问题是通过反向代理缓存此内容,因此我不必手动将静态内容分发到 http 服务器(反向代理)。
最佳答案
通过 http 比 https 更容易窥探数据。因此,在这方面,您应该考虑仅通过 http 传输不包含敏感信息的内容。
另一种思考方式:有人会从窥探我公司 Logo 的这张图片中获益吗?可能不是。
但是,假设您有(无论出于何种原因)带有客户银行帐户详细信息的图像。你应该通过http传输它吗?可能不是。
编辑: 另外,当您在某些浏览器中混合使用 http 和 https 请求时,您的客户会收到讨厌的弹出消息,通知他们某些内容未加密
关于security - 在不安全的情况下公开安全 Web 应用程序的静态资源有哪些危险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2507783/