Hay cuatro combinaciones generales de solicitudes en sitios cruzados por seguridad, y quiero saber si ysite.com , en cada caso, sabe que la razón por la que descargué uno de sus recursos fue porque estaba visitando la URL específica a la que se hace referencia it ( xsite.com/page.html ), o si no es la URL específica, quizás el sitio / dominio:
- visito
https://xsite.com/page.html. Hace referencia ahttps://ysite.com/library.js. - visito
https://xsite.com/page.html. Hace referencia ahttp://ysite.com/image.jpg. - visito
http://xsite.com/page.html. Hace referencia ahttps://ysite.com/library.js. - visito
http://xsite.com/page.html. Hace referencia ahttp://ysite.com/image.jpg.
Y en los casos anteriores donde ysite.com no puedo saber qué sitio / URL estaba navegando para descargar su recurso, ¿no sería diferente si descargo directamente la imagen o el archivo js? ¿desde la barra de direcciones del navegador, cuando se trata de los registros del servidor de su sitio? ¿Se verá diferente en otras formas en comparación con la integración en otro sitio web, debido a las sutilezas de diferencia de tiempo de TCP, la información del encabezado HTTP (o la falta de ella) en la solicitud HTTP (o la falta de incluso ciertos encabezados HTTP en la solicitud GET)? ¿O cualquier otra diferencia en el transporte o la interacción de la capa de aplicación que puedan ver en su servidor?
De interés, es si los sitios pueden evitar el enlace directo de la imagen de la url desde dominios HTTPS externos. Si pueden, entonces asumo que las URL del sitio HTTPS PUEDEN ser filtradas a servidores web de objetos de terceros, a menos que su método para bloquear el enlace activo de HTTPS sea una manera que TAMBIÉN impide el acceso directo a la imagen SIN ser referido por una URL del servidor web de la imagen.