在HTTP站点上使用基于HTTPS的服务的安全

Question

这个问题已经出现在我的工作几次了，我希望得到一些社区的支持。

我们正在研究一个单页Web应用程序，但需要从我们的服务API传来的数据是安全的，以防止数据的窥探。我们也在努力解决我们的SPA的托管环境细节。其中一个选择是使用类似亚马逊的S3，不支持SSL（据我所知）。

有一个认为整个网站需要通过SSL托管一组。但是，我的理解是SSL只会保护数据的传输。因此，我试图提出的一点是，托管HTTPS站点的服务以及来自基于非SSL的URL的客户端代码将与托管SSL站点上的所有内容一样安全。

任何人都可以澄清这一点吗？

在此先感谢。

Answer 1

是，SSL只是加密数据的传输，并且不提供任何客户端代码的任何类型的运行时环境的保护。现在

，人们普遍认为举办所做的一切SSL，这些原因最佳实践：

1. 用户可以得到警告，一个网站与不受信任的源传输数据，如果部分是从SSL和零件不是。
2. 任何cookie将在请求非SSL文件时以明文形式发送，并且可能包含应保密的信息。