我有一个域名 - 比如www.domainname.com。
我现在正在进行管理页面 - 管理网站上发生的操作。
我不想使用其他新域名和CURL等,所以我认为我有以下两种选择:
www.domainname.com/admin
www.admin.domainname.com
注意:我不会使用“admin”这个名称。
谈论安全性 - 是否有偏好?
注意:我需要访问没有CURL的相同数据库,并且将使用SSL(不确定这是否会影响子域)。
任何建议?
THX
答案 0 :(得分:2)
答案 1 :(得分:2)
在安全方面,两者之间存在显着差异。原因是XSS攻击和cookie范围的影响。
如果http://www.domainname.com/存在跨站点脚本漏洞,攻击者可能会窃取用户的Cookie并执行其他攻击(键盘记录,历史侦听,重定向到网络钓鱼/攻击网站)。
现在,如果网站的管理区域位于http://www.domainname.com/admin/,则管理员用户(以及管理员功能)也可能会受到用户区域中XSS漏洞的攻击。</ p>
但是,如果管理区域托管在完全不同的域上,例如http://admin.domainname.com,那么由于javascript同源策略和cookie范围规则,如果存在XSS漏洞,则管理区域不会受到攻击在用户区。
请注意,如果您选择http://www.domainname.com/和http://admin.domainname.com/,请务必始终使用www.前缀为用户区域提供服务。如果您从http://domainname.com为网站的用户区域提供服务并允许Cookie范围为.domainname.com,那么您仍然会将管理区域Cookie公开给网站的用户区域。