我有一个ASP.NET网站,需要登录并在所有页面上使用SSL来保护用户的凭据和身份验证cookie。假设一个页面的图像元素包含以下src:
https://mystorageaccount.blob.core.windows.net/mycontainer/myimage.jpg?sv=...
使用限时共享访问签名从Azure存储上的私有blob容器请求映像文件。我并不特别希望拦截这张照片。但是,对此请求使用HTTPS有什么意义吗?当然,中间人可以在SAS时间范围内自己使用URL来接收图像吗?
我意识到更安全的选择是从存储服务器端获取图像,并仅将其提供给经过身份验证的用户,但速度很重要,所以我想避免这种情况。我的问题是,当浏览器直接从Azure存储区请求图像时,HTTPS有什么好处或者我应该使用HTTP吗?
答案 0 :(得分:4)
使用HTTPS,在传输任何HTTP流量之前,在TCP层完成安全连接。只提供主机名和端口号不安全(因为它们用于建立TCP连接),然后一旦建立安全连接,则安全地提交剩余的HTTP内容(URL的路径部分和任何查询参数) HTTPS。
维基百科的HTTPs文章[{3}}对此进行了解释。
答案 1 :(得分:2)
我绝对可以想到一个好处,那就是避免Mixed Content警告。
此外,请注意,如果您通过首先从存储中提取内容来从应用程序服务器提供内容,那么您将失去CDN个好处。