我目前遇到的问题是我想通过子域提供静态内容 static.mydomain.tld,但我的 SSL证书仅对我的主域有效 mydomain.tld
使用https时,是否应该通过安全连接添加我的javascript,css和图片,或者我仍然可以使用http://static.mydomain.tld。
我会更改我的javascript ,以便AJAX请求在主域上使用https 。
或者我不应该使用子域并包含主域中的文件?
(我正在考虑使用子域名,因为我读到静态内容应该从没有设置cookie的域提供)
谢谢!
答案 0 :(得分:3)
当使用https时,我应该通过安全连接包含我的javascript,css和图像
是。否则它将被拦截和修改。替换的图像可能会向用户显示错误数据。替换JS和CSS(因为CSS可以嵌入JS)可以执行脚本并从安全环境泄漏数据。
我不应该使用子域并包含主域中的文件吗?
这是一个选择。
您还可以为其他主机名获取另一个SSL证书。