Protokollunabhängige Assets

Wenn die Anwendung SSL gesichert über HTTPS ausgeliefert wird, ist es wichtig auch externe Assets, wie zum Beispiel Bilder oder Javascript/ CSS Dateien ebenfalls über HTTPS auszuliefern. Auch statisch gesetzte Linkadressen mit HTTP Protokoll sollten HTTPS ready sein. Ansonsten gibt der Browser unschöne Warnungen aus:

GET http://example.com/ [Mixed Content] [HTTPS/1.1 200 OK 39ms]

Wenn die Assets von einem externen CDN (Content Delivery Network) kommen, sollte sicher gestellt werden, dass sie ebenfalls über HTTPS ausgeliefert werden. Die Links dahin können auch Protokollunabhängig definiert werden. Statt:

<link href="http://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/css/bootstrap.min.css" rel="stylesheet">

Protokollunabhängig:

<link href="//maxcdn.bootstrapcdn.com/bootstrap/3.3.5/css/bootstrap.min.css" rel="stylesheet">

Man beachte die fehlende Protokollspezifikation. Die externe Ressource wird dann mit dem gleichen Protokoll angefragt, dass auch für die Seite verwendet wurde. Also HTTP, wenn http://example.com und HTTPS, wenn https://example.com.