Смешивание безопасного и незащищенного контента на веб-страницах - это хорошая идея?

Я пытаюсь найти способы ускорить мой безопасный веб-сайт. Поскольку существует много CSS-изображений, которые необходимо загрузить, это может замедлить работу сайта, поскольку защищенные ресурсы не кэшируются на диск браузером и должны извлекаться чаще, чем это действительно необходимо.

Одна вещь, которую я рассматривал, - это, возможно, перемещение основанных на стилях изображений и библиотек javascript в незащищенный поддомен, чтобы браузер мог кэшировать эти ресурсы, которые не представляют угрозы безопасности (градиент не совсем чувствительный материал).

Я хотел посмотреть, что другие люди думают о том, чтобы сделать что-то подобное. Является ли это осуществимой идеей или я должен пойти на оптимизацию своего сайта другими способами, такими как использование спрайт-карт CSS и т. Д., Чтобы уменьшить количество запросов и пропускную способность?

12.12.2008 03:46:48
4 ОТВЕТА
РЕШЕНИЕ

Браузеры (особенно IE) начинают беспокоиться об этом и предупреждают пользователей, что на странице есть смешанный контент. Мы попробовали это, и несколько человек позвонили, чтобы спросить о безопасности нашего сайта. Я бы не рекомендовал это. Если пользователи теряют чувство безопасности при использовании вашего сайта, дополнительная скорость не стоит.

2
12.12.2008 03:51:47

Имейте в виду, что в IE 7 есть проблемы со смешиванием защищенных и небезопасных элементов на одной странице, поэтому это может привести к тому, что некоторые пользователи не смогут правильно просматривать все содержимое ваших страниц. Не то чтобы я одобрял IE 7, но недавно мне пришлось заняться этим вопросом, и с этим трудно справиться.

0
12.12.2008 03:52:05

Не смешивайте контент, нет ничего более раздражающего, чем необходимость пойти и нажать кнопку «Да» в этом диалоговом окне. Я бы хотел, чтобы IE позволял мне всегда выбирать сайты со смешанным контентом. Как сказал Крис, не делай этого.

Если вы хотите оптимизировать свой сайт, есть много способов, если SSL - единственный оставшийся способ купить аппаратный ускоритель .... хммм, если вы загрузите изображение с помощью http, будет ли оно кэшировано, если вы загрузите его с помощью https? Просто побочный вопрос, который мне нужно выяснить.

1
12.12.2008 04:40:12
«Я бы хотел, чтобы IE всегда разрешал мне показывать сайты со смешанным контентом». - Это так. :)
Chiramisu 18.07.2012 19:43:55

Это не рекомендуется вообще. Причина, по которой браузеры создают такие проблемы с небезопасным контентом на защищенных страницах, заключается в том, что он предоставляет информацию о текущем сеансе и делает вас уязвимыми для атак «человек посередине». Я допускаю, что третья сторона вряд ли могла бы сделать это, чтобы прослушать почтенную информацию, если единственным незащищенным содержимым являются изображения, но CSS может содержать ссылку на javascript / vbscript через файлы поведения (IE). Если ваш javascript обслуживается небезопасно, мало что можно сделать, чтобы не допустить, чтобы скрипт румян очистил вашу веб-страницу в неподходящее время.

В лучшем случае вы могли бы получить способ создания защищенного содержимого iframing для сохранения внешнего вида. Как потребитель я действительно не люблю это, но как веб-разработчик я должен был сделать это раньше из-за других прагматичных вариантов. Но, честно говоря, с таким же количеством, если не больше, недостатков, так как, в конце концов, вы надеетесь, что что-то не нарушает целостность небезопасного контента, так что он может содержать защищенный контент, а не какой-то альтернативный контент ,

Это просто не очень хорошая идея с точки зрения безопасности.

0
13.03.2012 16:13:40
Ответ JayC вводит в заблуждение. НЕ ОБРАЩАЙТЕСЬ к защищенному контенту в пределах родительского контроля. Если небезопасные родительские фреймы / страницы скомпрометированы, то они владеют защищенным фреймом, минимально помещая прозрачный iframe поверх и перехватывая / перенаправляя вас к их контенту (обычно для захвата учетных данных пользователей). Никогда не смешивайте безопасный и небезопасный контент на одной странице.
user1786333 30.10.2012 17:10:04
@TheOtherGeoff: Это еще одна веская причина, по которой это "не очень хорошая идея". Но когда клиент настаивает, клиент - это компания, которую советуют в отношении вашего проекта комитетом людей, а вы работаете в небольшом филиале компании в второстепенном филиале проекта (с непропорциональной гласностью), пытаясь сохранить клиент доволен, и ваш начальник, который, по-видимому, хотя бы частично понимает проблему, по-видимому, желает еще больше прилечь, чтобы найти подходящий момент для выхода на пенсию .. иногда вам просто нужно идти по течению. Я никогда не хотел подразумевать, что "прагматичный" был безопасным .
JayC 31.10.2012 14:06:33