安全画布 - 画布页面上的每个 http 请求也应该更改为 https 吗？

Question

由于10月1日即将到来。我正在研究 Secure Canvas URL 的内容。

我的画布网址类似于 canvas.example.com。我可以毫无问题地使该域和服务器 SSL 准备就绪。

我的问题是，canvas.example.com 发出的每个 http 请求也应该更改为 https 吗？

例如我从cdn.example.com导入一些JS、CSS、图像到我的画布页面，我应该配置cdn.example .com alos 可以通过 https 访问，或者我可以不理会这个域，仍然使用 http 来获取这些内容？

非常感谢。

Answer 1

您应该通过 https 提供所有内容，否则浏览器将显示警告。

Answer 2

Facebook 政策明确提到所有页面选项卡和 iFrame 应用程序都应拥有 SSL 证书。
您网站上包含的任何外部内容（例如图像和 JS）也应来自安全托管，因此 https:// 否则您将不遵守 FB 政策。
鉴于 FB 对于惩罚违约者非常严格，我认为任何应用程序开发人员都不会冒险..