Kas on võimalik täpsustada, et ressurss tuleks vahemällu salvestada, kui sellele juurdepääsuks kasutatakse nii HTTP kui ka HTTPS-i? Meil on palju staatilist sisu, mida esitatakse algselt HTTP kaudu ja seejärel SSL-i kaudu uuesti, kui kasutaja proovib sisse logida või sisse logida, ja oleks tore seda vahemällu salvestada.

Ei, brauserid käsitlevad HTTP ja HTTPS URL-e täiesti erinevana, isegi kui ainus tegelik erinevus on URL-i olemasolu s.

Kui nad seda ei teeks, tekitaks see tõsise turvaaugu. Mõelge, mis juhtuks, kui ütleks, et ründajal õnnestuks rikkuda ebaturvalise HTTP kaudu laaditud JS-fail ja brauser käivitas sama JS-koodi hiljem oma vahemälust turvalisel lehel.

Ainus viis, kuidas saate samu staatilisi ressursse taaskasutada nii turvalistel kui ka ebaturvalistel lehtedel, on laadida need täpselt samadest URL-idest. Siin on teil põhimõtteliselt kaks valikut:

  • Kasutage staatiliste ressursside jaoks HTTPS-i, isegi kui põhileht on laaditud üle HTTP. See töötab ja on turvaline, kuid HTTPS-i kasutamine toob kaasa väikese protsessori hinna ja takistab jagatud puhverserveritel ressursside vahemällu salvestamist. Kuid kasutaja brauser teeb need siiski vahemällu ja ressursside teenindamiseks on siiski võimalik kasutada vastupidist puhverserverit või CDN-i, kui need saavad toimida usaldusväärsete SSL-i lõpp-punktidena.

  • Kasutage oma staatiliste ressursside jaoks HTTP-d, isegi kui põhileht on laaditud üle HTTPS-i. Seda mai töötavad ka mõnes brauseris, kuid see on nii mitte turvaline. Isegi brauserid, kus see töötab, hoiatavad tavaliselt kasutajat ebaturvalise sisu olemasolu eest või kohtlevad kogu lehte lihtsalt ebaturvalisena. Näiteks kuvab IE8 hoiatuse "segasisu", samal ajal kui IE9 lihtsalt ei laadi ebaturvalisi ressursse (välja arvatud pildid).

Muidugi on teil ka kolmas võimalus: selleks kasutage lihtsalt HTTPS-i kõik oma lehtedest. See võib olla otstarbekam, kui arvate, eriti kui oluline osa liiklusest kasutab juba HTTPS-i.

Ma pole leidnud midagi, mis täpsustaks konkreetselt, kuidas brauserid peaksid https-i ja http-vahemälus sisalduva sisu jagama, ja olen leidnud vastuolulist teavet ka veebis.

Näiteks: tühjendasin Firefoxis oma vahemälu, külastasin veebisaiti http://www.google.com, vaatasin üle oma ketta vahemälu (tüüp about:cache URL-i ribal) ja külastage seejärel aadressi https://www.google.com.

Kuigi nii http- kui ka https-i vahemällu salvestatud sisu ei tohtinud https-i sait vahemällu salvestatud http-ressursse. Igatahes, siin on mõned artiklid, mis võivad olla kasulikud:

  • http://www.mnot.net/cache_docs/
  • http://www.web-caching.com/welcome.html
  • http://www.w3.org/Protocols/rfc2616/rfc2616-sec13.html#sec13

Loodan, et see aitab!

  • Ei nagu päistes - kas saate HTTP-päiseid HTTP-s ja HTTPS-is vahemällu tagasi saata?
  • stackoverflow.com/questions/174348/… võib olla asjakohane ka

none: Charles Robertson | none