通过https包含Javascript/CSS?
我目前面临的问题是,我希望通过子域通过https包含Javascript/CSS?,javascript,css,ssl,https,Javascript,Css,Ssl,Https,我目前面临的问题是,我希望通过子域static.mydomain.tld提供静态内容,但我的SSL证书仅对我的主域mydomain.tld 当使用https时,我应该通过安全连接包含javascript、css和图像,还是仍然可以使用http://static.mydomain.tld 我将更改javascript,以便AJAX请求在主域上使用https 或者我不应该使用子域并包含来自主域的文件吗 (我考虑使用子域,因为我读到静态内容应该从不设置cookie的域提供) 谢谢大家! 当使用http
static.mydomain.tld
提供静态内容,但我的SSL证书仅对我的主域mydomain.tld
当使用https时,我应该通过安全连接包含javascript、css和图像,还是仍然可以使用http://static.mydomain.tld
我将更改javascript,以便AJAX请求在主域上使用https
或者我不应该使用子域并包含来自主域的文件吗
(我考虑使用子域,因为我读到静态内容应该从不设置cookie的域提供) 谢谢大家! 当使用https时,我应该通过安全连接包含javascript、css和图像吗 对。否则将被拦截和修改。替换的图像可能会向用户提供虚假数据。替换的JS和CSS(因为CSS可以嵌入JS)可以执行脚本并从安全环境中泄漏数据 我不应该使用子域并包含来自主域的文件吗 这是一种选择
您还可以为另一个主机名获取另一个SSL证书。“我了解到,静态内容应该从未设置Cookie的域提供。”。你在哪里读到的?如果这是为了提高HTTP代理服务器的使用率,这其实并不重要,因为它们无论如何都看不到HTTPS连接的内容。一些速度测试告诉我要这样做,包括Yahoo的YSlow: