我正在尝试想办法加快我的安全网站。由于需要加载大量 CSS 图像,因此会降低网站速度,因为浏览器不会将安全资源缓存到磁盘上,并且必须比实际需要更频繁地检索。
我正在考虑的一件事可能是将基于样式的图像和 javascript 库移动到不安全的子域,以便浏览器可以缓存这些不会造成安全风险的资源(渐变并不完全敏感材料)。
我想看看其他人对做这样的事情有什么想法。这是一个可行的想法还是我应该以其他方式优化我的网站,例如使用 CSS sprite-maps 等以减少请求和带宽?
【问题讨论】:
标签: web-optimization
浏览器(尤其是 IE)对此感到不安,并提醒用户页面上有混合内容。我们试过了,有几个用户打电话来质疑我们网站的安全性。我不会推荐它。让用户在使用您的网站时失去安全感是不值得的。
【讨论】:
不要混合内容,没有什么比点击对话框上的“是”按钮更烦人的了。我希望 IE 能让我始终选择显示混合内容网站。正如克里斯所说,不要这样做。
如果您想优化您的网站,有很多方法,如果 SSL 是唯一的方法,请购买硬件加速器....嗯,如果您使用 http 加载图像,如果您使用 https 加载,图像会被缓存?只是一个我需要去了解的附带问题。
【讨论】:
请注意,在 IE 7 中,在同一页面上混合安全和非安全项目存在问题,因此这可能会导致某些用户无法正确查看您页面的所有内容。并不是说我支持 IE 7,但最近我不得不研究这个问题,而且处理起来很痛苦。
【讨论】:
这是不可取的。浏览器在安全页面上给您带来不安全内容的麻烦的原因是它暴露了有关当前会话的信息并使您容易受到中间人攻击。如果唯一不安全的内容是图像,我承认第 3 方可能无法嗅探古老的信息,但 CSS 可以通过行为文件 (IE) 包含对 javascript/vbscript 的引用。如果您的 javascript 服务不安全,则无法采取任何措施来防止 rouge 脚本在不合时宜的时间抓取您的网页。
充其量,您也许可以通过 iframe 安全内容来保持外观和感觉。作为消费者,我真的不喜欢它,但作为 Web 开发人员,由于没有其他务实的选择,我以前不得不这样做。但是,坦率地说,这也有同样多的缺陷,因为毕竟,您希望某些东西不会违反 不安全内容 的完整性,以便它可以托管安全内容,而不是一些替代内容。
从安全角度来看,这不是一个好主意。
【讨论】: