我有一个需要面向互联网的应用程序。它是在WCF之上运行的Silverlight 4前端。
现在我在面向服务器的互联网上有两个虚拟目录。一个Silverlight应用程序,另一个用于WCF服务。
我通过SSL托管Silverlight前端获得了什么。我当然希望将我的WCF服务保留在SSL下,但在我看来,Silverlight XAP可能比HTTP更好。它们可以通过HTTPS运行良好,但我想将XAP移动到HTTP下运行,因为在HTTPS下运行时,基于HTTP的图像会因为交叉方案而试图被拒绝(我认为)。
对此有什么安全最佳做法吗?
注意:
首先,我已经阅读了有关clientaccesspolicy.xml的帖子并且没有运气。 Silverlight - Binding an image which is using https
这是我的文件仍然不允许HTTP图像通过HTTPS呈现。
<?xml version="1.0" encoding="utf-8" ?>
<access-policy>
<cross-domain-access>
<policy>
<allow-from http-request-headers="SOAPAction">
<domain uri="http://*"/>
<domain uri="https://*" />
</allow-from>
<grant-to>
<resource include-subpaths="true" path="/"/>
</grant-to>
</policy>
</cross-domain-access>
</access-policy>
答案 0 :(得分:0)
我可以想到您可能想要通过HTTPS运行Silverlight应用程序的各种原因(例如,如果XAP文件包含您不想被嗅探的信息),但它们不是正常情况。对我来说,通常可以通过HTTP而不是HTTPS来托管XAP文件。
关于访问图像,您是否主动指定http而不是https?如果您只指定相对位置会发生什么?