Разве там какая-либо причина НЕ состоит в том, чтобы использовать src = “//domain.com/file.js”, который является динамичным протоколом?
В некоторых моих ПРИЛОЖЕНИЯХ ЭЛЕКТРОННОЙ КОММЕРЦИИ я начал использовать src="//domain.com/file.js" в случаях, где я должен был сослаться на внешне размещенные сценарии, которые я хотел включать. В моих ПРИЛОЖЕНИЯХ ЭЛЕКТРОННОЙ КОММЕРЦИИ не все страницы на самом деле используют https как не каждая страница имеет форму.
Я задаюсь вопросом, существует ли действительно какой-либо недостаток к всегда использованию этого, как это - также ярлык на http и можно всегда, всегда избегать не - защищают предупреждение IE.
2 ответа
Если вы намереваетесь загрузить ресурсы по тому же протоколу, по которому загружается страница, то его использование - идеальный способ для этого. Однако вам может потребоваться загрузить некоторые ресурсы из http , даже если ваша страница в настоящее время обслуживается под https (допустим, ресурс обслуживается только на http или вы предпочитают снизить нагрузку на ваш сервер, не заставляя его шифровать каждое изображение на странице). В этом случае вам необходимо явно указать имя протокола.
@Mehrdad_Afshari Получение ресурсов из HTTP может открыть уязвимости инъекций от атак MITM, от которых специально должен защищать HTTPS. Классическим примером является поиск сценария через HTTP, но в прошлом были ошибки (см. http://www.adambarth.com/papers/2009/barth-caballero-song.pdf ), которые могли позволить внедрение сценария через тег IMG с помощью MITM. Связанные со схемой ссылки были специально рекомендованы в работе ForceHTTPS ( https://crypto.stanford.edu/forcehttps/ ) из-за подобных проблем.