В некоторых моих ПРИЛОЖЕНИЯХ ЭЛЕКТРОННОЙ КОММЕРЦИИ я начал использовать src="//domain.com/file.js"
в случаях, где я должен был сослаться на внешне размещенные сценарии, которые я хотел включать. В моих ПРИЛОЖЕНИЯХ ЭЛЕКТРОННОЙ КОММЕРЦИИ не все страницы на самом деле используют https
как не каждая страница имеет форму.
Я задаюсь вопросом, существует ли действительно какой-либо недостаток к всегда использованию этого, как это - также ярлык на http
и можно всегда, всегда избегать не - защищают предупреждение IE.
Если вы намереваетесь загрузить ресурсы по тому же протоколу, по которому загружается страница, то его использование - идеальный способ для этого. Однако вам может потребоваться загрузить некоторые ресурсы из http
, даже если ваша страница в настоящее время обслуживается под https
(допустим, ресурс обслуживается только на http
или вы предпочитают снизить нагрузку на ваш сервер, не заставляя его шифровать каждое изображение на странице). В этом случае вам необходимо явно указать имя протокола.
@Mehrdad_Afshari Получение ресурсов из HTTP может открыть уязвимости инъекций от атак MITM, от которых специально должен защищать HTTPS. Классическим примером является поиск сценария через HTTP, но в прошлом были ошибки (см. http://www.adambarth.com/papers/2009/barth-caballero-song.pdf ), которые могли позволить внедрение сценария через тег IMG с помощью MITM. Связанные со схемой ссылки были специально рекомендованы в работе ForceHTTPS ( https://crypto.stanford.edu/forcehttps/ ) из-за подобных проблем.