在HTTP站點上使用基於HTTPS的服務的安全

Question

這個問題已經出現在我的工作幾次了，我希望得到一些社區的支持。

我們正在研究一個單頁Web應用程序，但需要從我們的服務API傳來的數據是安全的，以防止數據的窺探。我們也在努力解決我們的SPA的託管環境細節。其中一個選擇是使用類似亞馬遜的S3，不支持SSL（據我所知）。

有一個認爲整個網站需要通過SSL託管一組。但是，我的理解是SSL只會保護數據的傳輸。因此，我試圖提出的一點是，託管HTTPS站點的服務以及來自基於非SSL的URL的客戶端代碼將與託管SSL站點上的所有內容一樣安全。

任何人都可以澄清這一點嗎？

在此先感謝。

Answer 1

是，SSL只是加密數據的傳輸，並且不提供任何客戶端代碼的任何類型的運行時環境的保護。現在

，人們普遍認爲舉辦所做的一切SSL，這些原因最佳實踐：

1. 用戶可以得到警告，一個網站與不受信任的源傳輸數據，如果部分是從SSL和零件不是。
2. 任何cookie將在請求非SSL文件時以明文形式發送，並且可能包含應保密的信息。