我目前在只能通过https访问的域上提供图像内容。在通过http访问的页面上使用https路径提供图像的缺点是什么?有任何缓存注意事项吗?我正在使用HttpRuntime.Cache对象来存储从数据库中检索的绝对图像路径。
我认为如果图片只能通过https访问,那么使用协议相对网址没有任何好处吗?
为什么我应该设置一个单独的虚拟目录以通过http提供图像内容?
答案 0 :(得分:10)
如果在HTTP页面中通过HTTPS提供的内容不是特别敏感,并且同样可以通过HTTP提供,则没有任何缺点(可能是一些性能问题,not necessarily much和缺少缓存,取决于服务器的配置方式:您可以缓存一些HTTPS内容。)
如果基于HTTPS的内容服务器足够敏感以激励使用HTTPS,那么这是非常糟糕的做法。
检查HTTPS是否正确使用和使用完全由客户及其用户负责(例如,这就是automatic redirections from HTTP to HTTPS are only partly useful的原因)。虽然其中一些与证书验证的技术性有关,但HTTPS提供的许多安全性来自用户的事实:
从技术角度来看,HTTP严格传输安全可以解决第一点。
第二个需要使用的互动。如果您访问银行的网站,它不仅必须是具有有效证书的网站,而且您还应该检查它确实是您银行的域名,例如。
在HTTP页面中嵌入HTTPS内容会使此失败,因为用户无法检查正在使用的站点,并且实际上根本使用了HTTPS。在某种程度上,在HTTPS页面中嵌入来自第三方的HTTPS内容也会出现此问题(这是3-D Secure的问题之一,可能使用HTTPS提供,但使用iframe不会产生哪些问题网站实际上是可见的。)