100% SSL 或选择性 SSL、JSONP ...并且没有错误？

Question

我想邀请您经过深思熟虑的意见来帮助我在 Ajax 应用程序的以下两个来源策略之间做出决定：

1. 从 HTTPS://www.mydomain.com 加载我的所有资产
Plus: Ajax is easy. No problems with Same Origin Policy.
Plus: PUT method offers large payloads.
Plus: Network error messages can be fed back to the user.
Minus: Server needs to sweat more to encrypt all that dross that makes up a web site. Browser needs to sweat more decrypting it all. Overall slower user experience.
2. 通过 HTTP://www.mydomain.com 加载大部分糟粕，仅在敏感数据交换时使用 HTTPS://www.mydomain.com。
Plus: Faster user experience as browser and, more importantly, my server do less cryptography. Plus: Ajax still easy via JSONP work-around to SOP (*).
Minus: GET method on JSONP limits payload to 2K - may become an issue.
BIG Minus: Cannot find any way to grab status response from header following network errors (of whatever kind). User information cannot extend beyond "My bad".

有什么想法吗？

(*) 顺便说一句，如果有人能给我一个由同一域上的协议切换带来的安全漏洞的示例，我将非常感激。我知道这些是不同的服务器，但那又​​怎样呢？它们在我的域内。我控制他们。我不明白这种担忧。

Answer 1

使用 SSL。您是否对 SSL 的性能损失进行了基准测试？一般来说，现代计算机速度很快，SSL 加密/解密开销可以忽略不计。有关该主题的一些讨论，请参阅 SSL 会产生多少开销？。

在我的书中，不必使用 JSONP、能够使用 HTTP PUT 以及您概述的所有其他好处都比几个 cpu 周期更有价值。

Answer 2

关于该漏洞，我已将示例放在 另一个答案：

维护起来似乎不太可取
HTTP 和 HTTPS 之间的会话使用
相同的 cookie 或 URL 令牌。

想象一下您的用户的情况
使用给定的 cookie（或 URL
令牌）来回传递每个
电子商务中的请求/响应
网站。如果中间有人
能够读取该 cookie，然后他就可以
登录到 HTTP 或 HTTPS 变体
带有它的网站。即使无论什么
合法用户所做的事情就结束了
HTTPS，攻击者仍然能够
访问该会话（因为他也
将拥有合法的cookie）。他
可以看到诸如购物车、
付款方式，也许改变
送货地址。

通过某种形式是有意义的
HTTP 会话和之间的令牌
HTTPS 会话（如果您使用
会话），但将它们视为一个整体
同样会导致一些
脆弱性。打造一次性
查询参数中的标记只是
过渡可能是一个解决方案。你
但是应该将它们视为两个
单独的经过身份验证的会话。

此漏洞可能会发生
有时与使用混合的网站
HTTP 和 HTTPS 内容（某些
Firefox 等浏览器将为您提供
发生这种情况时会发出警告，尽管
大多数人倾向于禁用它
第一次出现）。你可以有
主要的 HTTPS 会话 cookie
页面，但该页面包含图像
对于公司徽标，通过普通 HTTP。
不幸的是，浏览器会发送
两者的cookie（所以攻击者
那么就可以得到cookie了）。我已经
看到它发生了，即使图像中
问题甚至不存在（
浏览器将发送请求
cookie 到服务器，即使它
返回 404 未找到）。

关于使用 SSL/TLS 的开销，Google 工程师撰写的这篇文章 应该引起人们的兴趣，更具体地说：

SSL/TLS 的计算成本不再昂贵。