有什么理由不使用 src=“//domain.com/file.js”，这是协议动态的？

Question

在我的一些电子商务应用程序中，当我需要引用我想要包含的外部托管脚本时，我开始使用 src="//domain.com/file.js"。在我的电子商务应用程序中，并非所有页面实际上都使用 https，因为并非每个页面都有表单。

我想知道总是使用它是否真的有什么缺点，因为它也是 http 的快捷方式，并且您始终可以避免不安全的 IE 警告。

Answer 1

如果您的目的是从与页面加载相同的协议加载资源，那么使用它是实现它的完美方法。但是，即使您的页面当前在 https 下提供服务，您也可能需要从 http 加载一些资源（假设资源仅在 http 上提供） > 或者您希望通过不加密页面上的每个图像来减少服务器的负载）。在这种情况下，您需要显式指定协议名称。

Answer 2

@Mehrdad_Afshari 从 HTTP 获取资源可能会打开来自 MITM 攻击的注入漏洞，而 HTTPS 是专门用来保护您免受攻击的。经典示例是通过 HTTP 获取脚本，但过去存在错误（请参阅 http://www.adambarth.com/papers/2009/barth-caballero-song.pdf），可能允许 MITM 通过 IMG 标签注入脚本。 ForceHTTPS 工作中特别推荐了与方案相关的链接 (https://crypto.stanford.edu/forcehttps/< /a>）因为这样的担忧。