在SSL中的無Cookie域上提供靜態內容是否明智？

Question

我很久以前就讀過關於「使用無cookie的域名」，也就是創建一個子域，可以在1個子域中提供CSS，js和圖像。

但是，我們網站的99％通過ssl提供，而ssl證書可能很昂貴。

因此，如果我們做了這個無cookie的子域，並避免說「此頁面包含安全和非安全項目」錯誤的錯誤，我們必須在無cookie的子域上有ssl。

你們有沒有做過類似的事情？

是否真的值得花費，設置第二個ssl子域來承載我們所有站點的所有CSS，圖像和JavaScript？

謝謝。

Answer 1

號

如果使用HTTPS，你可能也使用HTTP/2，避免了重新發送的cookie不必要的，所以這個問題消失。

首次打開到域的新TLS連接的成本很高，因此您使用的域越多，付出的首次連接開銷就越多。

除非您的cookie非常大或者您有大量的請求，否則建立額外TLS連接的成本可能會高於在已經打開的連接上發送cookie的成本。

---

BTW：使用HTTPS時，一定要加一個HTTP標頭，明確允許緩存（例如Cache-Control:public, max-age=604800），否則瀏覽器可能不一遍又一遍緩存內容，浪費帶寬重新下載文件。