Security 不安全地公开安全web应用程序的静态资源有哪些危险？

我们正在创建由https保护的典型web应用程序。为了能够缓存静态资源，我想通过http公开图像、javascript文件等。否则他们就不会被欺骗。从安全角度来看，这是否可取？涉及哪些风险

---

编辑：我希望通过代理和浏览器缓存静态内容。实际上，这里最重要的问题是让反向代理缓存这些内容，因此我不必手动将静态内容分发到http服务器（反向代理）。

通过http比https更容易窥探数据。因此，在这方面，您应该考虑仅通过HTTP传输不包含敏感信息的内容。 另一种思考方式是：有人会从窥探我公司徽标的图像中获益吗？可能不会

然而，让我们假设你有一个客户的银行账户详细信息的图像（无论出于何种原因）。您应该通过http传输它吗？可能不会

编辑：

---

另外，当您在某些浏览器中混合使用http和https请求时，您的客户将收到令人讨厌的弹出消息，通知他们某些内容未加密。根据以下问题，可以缓存https内容

---

使用https，但http用于JavaScript。这怎么可能不是个坏主意

除了保密性，https还保护通信的完整性。事实证明，几乎在任何可以删除网络连接的地方，都可以将该漏洞升级为恶意破坏

从可用性的角度来看，（好的）浏览器会将任何包含http组件的https页面标记为不安全

我想通过http公开图像、javascript文件等。 否则他们就不会被欺骗。从安全角度来看，这是否可取？ 涉及哪些风险

如果在一个页面上混合使用http和https内容，则该页面本质上是不安全的。假设您的页面已通过https传递，并且有一个表单将数据发布到您的Web服务器。现在，因为JS是通过http发送的，所以中间的人可以替换它的内容并添加一行代码来更改表单的动作参数。这样，他就可以将数据发布到他的服务器，而不是您的服务器

为了防止这种可能性，浏览器会弹出混合内容警告。这对可用性不利，但从安全角度来看，它们是绝对正确的

---

如果您担心安全性，请不要混合使用http和https。如果缓存是您关心的问题，那么就有可能缓存https响应。如果你有正确的标题，浏览器就会这样做。我猜中间代理也会这样做。也许你可以列出你正在使用的代理，有人可以评论它的缓存策略。

实际上，我更感兴趣的是通过代理中介缓存内容。+1作为弹出窗口。这肯定是我每天看到的最烦人、最无用的消息之一。