Javascript e jQuery non sono protetti su https

8

Sto creando un'applicazione ASP.NET MVC 3 che verrà eseguita in Azure. Tutto stava funzionando bene, fino a quando sono passato a https. Ora la maggior parte dei miei plugin jQuery e qualche altro javascript non sono sicuri.

Sto usando la libreria Datatables e jsTree, watermaks e breadcrumb. La maggior parte di questo script è per rendere il nostro sito attraente.

C'è un modo per renderlo sicuro? O è ora di spostare un sito javascript molto magra?

Grazie per l'aiuto!

    
posta James 01.02.2012 - 20:43
fonte

2 risposte

11

Servo il mio intero sito su https, incluso jquery.

Il trucco è usare un CDN per jQuery che supporti https, o distribuire il codice sul tuo sito e includerlo dal tuo dominio. Nel codice, ad esempio:

<script type="text/javascript" 
        src="https://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script>

Funzionabeneeappariràcomeunelementosicuro.

Ora,inrealtàèsicuro?Beh,ingeneremifidodelleAPIdiGooglecomeCDNeilcontenutochehononècosìcruciale,tuttavia,sevolessiassicurarmidiavereilcontrollototaledelladistribuzionedijQuery,potreisemplicementeospitarlodasolo:

<scripttype="text/javascript" 
        src="https://mysite.com/static/js/jquery.min.js"></script>

Entrambi funzioneranno bene. In conclusione: non è avere per distribuire jQuery dal CDN, tuttavia, se lo si desidera, almeno uno di essi supporta https (altri potrebbero, non ho cercato oltre).

Una considerazione da tenere in considerazione: uno dei motivi per accedere al codice dalla CDN era di avere sempre l'ultima versione del codice jQuery. Distribuendoti da solo, perdi questa immediatezza - ottieni anche un leggero buffer contro gli aggiornamenti in fase di interruzione, anche se si spera che non dovrebbe essere un problema.

    
risposta data 01.02.2012 - 20:53
fonte
0

Passare a un sito JavaScript snello potrebbe essere una buona idea, almeno in questo modo è possibile controllare il JavaScript più facilmente e c'è molta meno area di attacco, tuttavia devi essere competente quando scrivi il codice.

Che mi porta all'altro punto, che cos'è esattamente jQuery che non è sicuro? È solo un avvertimento sui contenuti non sicuri nella pagina, tutto ciò significa che non stai caricando JavaScript o simili su HTTPS che dovresti fare da una copia memorizzata sul server stesso, ancora in questo modo puoi controllare quella copia, finalmente potrebbe valere la pena rimuovere qualsiasi classe JavaScript e le funzioni non effettivamente utilizzate da jQuery (dubito seriamente che tu stia usando tutto questo), dovremo generare una lista di tutte le funzioni chiamate tutte le funzioni che potrebbero chiamare ... per fare ciò ..

    
risposta data 01.02.2012 - 20:55
fonte

Leggi altre domande sui tag