在SSL中的无Cookie域上提供静态内容是否明智?
问题描述:
我很久以前就读过关于“使用无cookie的域名”,也就是创建一个子域,可以在1个子域中提供CSS,js和图像。在SSL中的无Cookie域上提供静态内容是否明智?
但是,我们网站的99%通过ssl提供,而ssl证书可能很昂贵。
因此,如果我们做了这个无cookie的子域,并避免说“此页面包含安全和非安全项目”错误的错误,我们必须在无cookie的子域上有ssl。
你们有没有做过类似的事情?
是否真的值得花费,设置第二个ssl子域来承载我们所有站点的所有CSS,图像和JavaScript?
谢谢。
答
号
如果使用HTTPS,你可能也使用HTTP/2,避免了重新发送的cookie不必要的,所以这个问题消失。
首次打开到域的新TLS连接的成本很高,因此您使用的域越多,付出的首次连接开销就越多。
除非您的cookie非常大或者您有大量的请求,否则建立额外TLS连接的成本可能会高于在已经打开的连接上发送cookie的成本。
BTW:使用HTTPS时,一定要加一个HTTP标头,明确允许缓存(例如Cache-Control:public, max-age=604800),否则浏览器可能不一遍又一遍缓存内容,浪费带宽重新下载文件。
你介意澄清一下你的答案吗?我认为你的意思是使用SSL时不值得拥有无cookie的域名? – CJxD 2015-12-13 22:06:23