让 http 和 https 请求指向同一个目录(例如)可以吗var/www/
?这似乎没问题,因为当您验证用户身份时,只需确保调用 https 而不是 http 即可。但是,我知道恶意用户如何使用 javascript 将 https url 更改为 http url。如果最好将它们拆分到两个目录中,那么有没有关于如何使用框架执行此操作的建议,因为您必须在目录之间复制大量代码?
答案1
我想这取决于您的设置,但我见过的大多数配置都将它们指向同一个位置。
还,亩:
- 如果 JS 更改了协议,则会弹出有关混合数据机密级别的安全警告。
- 如果 JS 可以更改您使用的协议,它还可以将它发现的任何敏感信息重定向到它喜欢的任何地方;游戏就结束了。
答案2
如果您有需要保护其机密性或完整性(在传输过程中)的数据,那么在我看来,甚至不使其能够通过未加密的协议提供都是明智的。依靠浏览器行为来警告用户他们正在通过未加密的通道接收内容很可能会被忽略。
我无法在不了解更多信息的情况下说出您如何使用特定框架来处理这个问题。我不希望代码重复,但如果必须的话,我可能会对相关目录进行符号链接。