允许客户端在 Web 应用程序中支持 CNAME/DNS 屏蔽有哪些潜在问题？

Question

我们公司开发了其他公司可以授权的网络应用程序。通常，我们的应用程序运行在：

www.company.example

客户端版本的应用程序运行在：

client.company.example

通常，客户端运行自己的站点位于：

www.client.example

有时，客户请求从以下位置获取其应用程序版本：

application.client.example

这种设置常见于博客 ( Wordpress、Blogger、Kickapps）。

从技术上讲，使用 CNAME/A 记录和一些应用程序配置实现这种“DNS 屏蔽”非常简单。然而，我已经考虑到了与此相关的一些潜在问题，并且想知道您是否能想到我错过的任何其他问题：

1）流量统计（由外部提供商衡量，例如竞争.com）将会较低，因为 company.example 的流量不包括 application.client.example 的流量。 （当然，本地统计数据不会受到影响）

2) 从 application.client.example 到 company.example 潜在的 cookie 泄露。如果客户端在 .client.example 设置 cookie，则这些 cookie 可以由 company.example 服务器读取。

3) 电子邮件欺骗。 电子邮件可能是从带有 application.client.example 域的 company.example 发送的，可能会因 SPF 记录不兼容而导致垃圾邮件黑名单问题。

感谢您对此的任何想法。

Answer 1

CNAME 已被广泛使用很长时间，尤其是托管公司。没有什么大问题。

对我们来说最大的问题是何时必须使用 HTTPS。在同一台服务器上支持多个 CNAME 是非常困难的。我们在证书中使用别名（SAN 扩展）。每次在 DNS 中添加新的 CNAME 时，我们都必须获取新的证书。除此之外，一切对我们来说都很好。

至于你提到的问题，

1. 这应该是一个优势。组合统计数据比分开统计数据容易得多。所以我们更喜欢详细的报告。
2. Cookie 不会在域之间共享，即使它们位于同一 IP 上也是如此。只要应用程序在服务器上正确沙箱化，它们就无法读取彼此的 cookie。
3. 您应该在服务器端对自己的传出 SMTP 流量进行速率限制，这样您就不会被列入黑名单。