क्या कोई कारण नहीं है src = "// domain.com/file.js", जो प्रोटोकॉल गतिशील है?

मेरे कुछ ई-कॉमर्स अनुप्रयोगों में मैंने src="//domain.com/file.js" का उपयोग उन मामलों में किया है जहां मुझे बाहरी रूप से होस्ट की गई स्क्रिप्ट्स को संदर्भित करने की आवश्यकता थी जिन्हें मैं शामिल करना चाहता था। मेरे ई-कॉमर्स अनुप्रयोगों में सभी पृष्ठ वास्तव में https का उपयोग नहीं करते हैं क्योंकि प्रत्येक पृष्ठ में कोई फॉर्म नहीं होता है।क्या कोई कारण नहीं है src = "// domain.com/file.js", जो प्रोटोकॉल गतिशील है?

मुझे आश्चर्य है कि वास्तव में इसका उपयोग करने के लिए वास्तव में कोई नुकसान होता है, क्योंकि यह http पर शॉर्टकट भी है और आप हमेशा सुरक्षित आईई चेतावनी से बच सकते हैं।

स्रोत

2010-02-24 meder omuraliev

यदि आपका इरादा उसी प्रोटोकॉल से संसाधनों को लोड करना है क्योंकि पेज लोड हो रहा है, तो इसका उपयोग करके इसे पूरा करने का एक सही तरीका है। हालांकि, आपको http से कुछ संसाधन लोड करने की आवश्यकता हो सकती है, भले ही आपका पृष्ठ वर्तमान में https के तहत परोसा जाता है (मान लीजिए कि resouce केवल http पर परोसा जाता है या आप पृष्ठ पर हर छवि को एन्क्रिप्ट नहीं करके अपने सर्वर पर लोड को कम करना पसंद करते हैं) । उस स्थिति में, आपको प्रोटोकॉल नाम को स्पष्ट रूप से निर्दिष्ट करने की आवश्यकता है।

स्रोत

2010-02-24 23:52:22

@Mehrdad_Afshari HTTP से संसाधनों को सोर्सिंग एमआईटीएम हमलों से इंजेक्शन भेद्यताएं खोल सकता है जो HTTPS विशेष रूप से आपकी रक्षा करने के लिए माना जाता है। क्लासिक उदाहरण HTTP पर एक स्क्रिप्ट सोर्स कर रहा है, लेकिन अतीत में बग्स रहे हैं (http://www.adambarth.com/papers/2009/barth-caballero-song.pdf देखें) जो एमआईटीएम द्वारा आईएमजी टैग के माध्यम से स्क्रिप्ट इंजेक्शन की अनुमति दे सकता है। इस तरह की चिंताओं के कारण फोर्सएचटीपीएस काम (https://crypto.stanford.edu/forcehttps/) में योजना-सापेक्ष लिंक विशेष रूप से अनुशंसित किए गए थे।

स्रोत

2010-02-24 23:56:25

हां। मै समझता हुँ। मैं विशेष रूप से '

क्या कोई कारण नहीं है src = "// domain.com/file.js", जो प्रोटोकॉल गतिशील है?

उत्तर

संबंधित मुद्दे