我想邀请您考虑过的意见,以帮助我为我的Ajax应用程序决定以下两个原始政策:
有什么想法吗?
(*)顺便说一下,如果有人能给我一个协议交换机在同一个域上带来的安全漏洞的例子,我会非常感激。我知道这些是不同的服务器,但那又怎样?他们在我的域名上。我控制他们。我不明白这个问题。
答案 0 :(得分:1)
使用SSL。您是否对SSL的性能损失进行了基准测试?通常,现代计算机速度快,SSL加密/解密开销可以忽略不计。有关此主题的一些讨论,请参阅How much overhead does SSL impose?。
不必使用JSONP,能够使用HTTP PUT,并且您概述的所有其他好处在我的书中的价值超过几个cpu周期。
答案 1 :(得分:1)
关于漏洞,我在another answer中添加了示例:
维护似乎并不合适 使用HTTP和HTTPS之间的会话 相同的cookie或URL令牌。
想象一下你是用户的情况 使用给定的cookie(或URL)登录 令牌)来回传递每一个 电子商务中的请求/响应 网站。如果中间有人 能够阅读那个cookie,他就可以了 登录到HTTP或HTTPS变体 有它的网站。即使无论如何 合法用户然后做的就结束了 HTTPS,攻击者仍然可以 访问该会话(因为他也是 将拥有合法的cookie)。他 可以看到像购物车这样的页面 付款方式,也许改变了 送货地址。
传递某种形式是有意义的 HTTP会话和。之间的令牌 HTTPS会话(如果您正在使用 会议),但将它们视为一体 同样会导致一些 漏洞。创造一次性 查询参数中的标记只是 过渡可能是一种解决方案。您 但是应该将它们视为两个 单独的认证会话。
此漏洞可能发生 有时使用混合的网站 HTTP和HTTPS内容(确定 Firefox等浏览器会给你 发生这种情况时会发出警告 大多数人倾向于禁用它 第一次弹出)。你可以有 主要的HTTPS会话cookie 页面,但该页面包含图像 对于公司徽标,通过纯HTTP。 不幸的是,浏览器会发送 两者的cookie(所以攻击者 那么就可以了。)我有 看到它发生,即使图像在 问题甚至不存在( 浏览器会发送请求 cookie到服务器,即使它 返回了404找不到的。)
关于使用SSL / TLS的开销,this article by Google engineers应该是有意义的,更具体地说:
SSL / TLS不再具有计算成本。