C'è qualche ragione per NON usare src = "// dominio.com/file.js", che è il protocollo dinamico?

Question

In alcune delle mie applicazioni E-Commerce ho iniziato a utilizzare src="//domain.com/file.js" nei casi in cui avevo bisogno di fare riferimento a script ospitati esternamente che volevo includere. Nelle mie applicazioni E-Commerce non tutte le pagine utilizzano effettivamente lo https in quanto non tutte le pagine hanno un modulo.

Mi chiedo se ci sia davvero qualche svantaggio nell'usarlo sempre, in quanto è anche un collegamento a http e si può sempre evitare sempre l'avviso di IE non protetto.

Answer 1

Se il tuo intento è caricare le risorse dallo stesso protocollo con cui viene caricata la pagina, utilizzarlo è un modo perfetto per realizzarlo. Tuttavia, potrebbe essere necessario caricare alcune risorse da http anche se la tua pagina è attualmente servita sotto https (supponiamo che il reso sia servito solo su http o che tu preferisca ridurre il carico sul tuo server non facendolo crittografare ogni immagine sulla pagina) . In tal caso, è necessario specificare esplicitamente il nome del protocollo.

Answer 2

@Mehrdad_Afshari Le risorse di sourcing da HTTP possono aprire vulnerabilità di iniezione dagli attacchi MITM da cui si suppone specificatamente che HTTPS ti protegga. L'esempio classico è l'acquisizione di uno script su HTTP, ma ci sono stati errori in passato (vedere http://www.adambarth.com/papers/2009/barth-caballero-song.pdf) che potrebbero consentire l'inserimento di script tramite un tag IMG da parte di un MITM. I collegamenti relativi allo schema sono stati specificatamente raccomandati nel lavoro ForceHTTPS (https://crypto.stanford.edu/forcehttps/) a causa di problemi come questo.