【发布时间】:2010-08-31 16:28:44
【问题描述】:
我想征求您深思熟虑的意见,以帮助我为我的 Ajax 应用在以下两种来源政策之间做出决定:
- 从 HTTPS 加载我的所有资产://www.mydomain.com 另外:Ajax 很简单。同源策略没有问题。
- 通过 HTTP: //www.mydomain.com 加载大部分垃圾并使用 HTTPS: //www.mydomain.com 仅用于敏感数据交换。 另外:作为浏览器的用户体验更快,更重要的是,我的服务器执行的密码学更少。 另外:通过 JSONP 变通到 SOP (*),Ajax 仍然很容易。
另外:PUT 方法提供了大量的有效载荷。
另外:网络错误信息可以反馈给用户。
减号:服务器需要更多的汗水来加密构成网站的所有渣滓。浏览器需要更多的精力来解密这一切。总体上较慢的用户体验。
减号:JSONP 上的 GET 方法将有效负载限制为 2K - 可能会成为问题。
大减:找不到任何方法从网络错误(任何类型的)后的标头中获取状态响应。用户信息不能超出“我的坏”。
有什么想法吗?
(*) 顺便说一句,如果有人能给我一个由同一域上的协议切换引起的安全漏洞的示例,我会真的感激不尽。我知道这些是不同的服务器,但那又如何呢?他们在我的域上。我控制他们。我不明白这个问题。
【问题讨论】: