Я хотел бы предложить ваше взвешенное мнение, чтобы помочь мне выбрать между следующими двумя политиками происхождения для моего приложения Ajax:
- Загрузить все мои активы с HTTPS: //www.mydomain.com Plus: Ajax is easy. No problems with Same Origin Policy.
- Загрузите большую часть мусора через HTTP: //www.mydomain.com и используйте HTTPS: //www.mydomain.com только для обмена конфиденциальными данными. Plus: Faster user experience as browser and, more importantly, my server do less cryptography. Plus: Ajax still easy via JSONP work-around to SOP (*).
Plus: PUT method offers large payloads.
Plus: Network error messages can be fed back to the user.
Minus: Server needs to sweat more to encrypt all that dross that makes up a web site. Browser needs to sweat more decrypting it all. Overall slower user experience.
Minus: GET method on JSONP limits payload to 2K - may become an issue.
BIG Minus: Cannot find any way to grab status response from header following network errors (of whatever kind). User information cannot extend beyond "My bad".
Есть предположения?
(*) Кстати, я был бы очень признателен, если бы кто-нибудь мог дать мне пример уязвимости системы безопасности, вызванной переключением протокола в том же домене. Я так понимаю, что это разные сервера, ну и что? Они в моем домене. Я их контролирую. Я не понимаю беспокойства.