Esistono quattro combinazioni generali di richieste cross-site per quanto riguarda la sicurezza, e voglio sapere se ysite.com
, in ogni caso, sa che il motivo per cui ho scaricato una delle sue risorse era perché stavo visitando l'URL specifico a cui si faceva riferimento ( xsite.com/page.html
), o se non l'URL specifico, il sito / dominio forse:
- Visito
https://xsite.com/page.html
. Fa riferimento ahttps://ysite.com/library.js
. - Visito
https://xsite.com/page.html
. Fa riferimento ahttp://ysite.com/image.jpg
. - Visito
http://xsite.com/page.html
. Fa riferimento ahttps://ysite.com/library.js
. - Visito
http://xsite.com/page.html
. Fa riferimento ahttp://ysite.com/image.jpg
.
E nei casi sopra in cui ysite.com
non può sapere quale sito / URL stavo navigando per scaricare la sua risorsa - non apparirà diverso se ho scaricato direttamente l'immagine o il file js dalla stessa barra degli indirizzi del browser, quando si tratta dei log del server del proprio sito? Apparirà diverso in altri modi rispetto all'incorporazione su un altro sito Web, a causa delle sottigliezze della differenza di temporizzazione TCP, delle informazioni dell'intestazione HTTP (o della mancanza di esso) nella richiesta HTTP (o addirittura della mancanza di determinate intestazioni HTTP nella richiesta GET?) o eventuali altre differenze nell'interazione tra trasporto o livello applicazione che potevano vedere sul loro server?
Di certo, è se i siti possono impedire il collegamento diretto di immagini tramite url da domini HTTPS esterni. Se possibile, suppongo che gli URL dei siti HTTPS possano essere divulgati ai server Web di oggetti di terzi, a meno che il loro metodo per bloccare l'hotlinking HTTPS sia un modo che impedisce ALSO l'accesso diretto all'immagine SENZA essere indirizzata da un URL dal server web dell'immagine.