2012-01-14 104 views
4

我目前面臨的,我想通過一個子域名服務靜態內容的問題static.mydomain.tld但我SSL證書只適用於我的主域名mydomain.tld通過https包含Javascript/CSS?

我應該有我的JavaScript,CSS和圖像在使用https時的安全連接,還是可以使用http://static.mydomain.tld

我會改變我的javascript使AJAX請求將使用HTTPS在主域。

或者不應該使用子域幷包含主域中的文件?

(我想使用一個子域,因爲我讀的靜態內容應該不會設置Cookie域送達)

謝謝!

+0

「我讀到靜態內容應該從未設置Cookie的域中提供」。你從哪裏讀到的?如果是爲了提高HTTP代理服務器的使用率,那麼它並不重要,因爲它們無論如何都不會看到HTTPS連接的內容。 – Bruno 2012-01-14 12:13:19

+1

幾個速度測試告訴我這樣做,包括來自雅虎的YSlow:http://developer.yahoo.com/yslow – Fabian 2012-01-14 14:12:47

回答

3

我應該有我的JavaScript,CSS和圖像通過安全連接時使用HTTPS

是。否則會受到攔截和修改。替換的圖像可能會向用戶顯示錯誤的數據。替換JS和CSS(因爲CSS可以嵌入JS)可以執行腳本並從安全環境泄漏數據。

不應該使用子域幷包含來自主域的文件嗎?

這是一個選項。

您還可以獲得另一個主機名的另一個SSL證書。