您的位置: 首页  >  技术问答  >  在https网站上加载http内容

在https网站上加载http内容

分类: 技术问答 2022-05-29 09:30:13
问题描述:

我正在考虑使用https的我的网站架构..我现在有一台托管图片,CSS和更多静态文件的CDN服务器。在https网站上加载http内容

该网站本身使用HTTPS来保护敏感的客户数据。将在网站“https://www.example.com”中使用通过例如“http://cdn.example.com/images/test.jpg”加载的静态图像弹出“加载不安全数据”消息?

因此,在SECURED网站上加载外部NOT SECURED数据。 这是否会导致弹出警告“加载不安全的数据,继续?”?

Thx!

+0

这是一个很好的回答你的问题。 http://stackoverflow.com/questions/3011222/dealing-with-http-content-in-https-pages –

是的。

如果页面通过HTTPS加载,那么它使用的每个资源也应通过HTTPS加载。

否则,中间人可以用误导的图像(或利用浏览器中的缓冲区溢出问题执行代码的图像)替换图像,并将脚本替换为执行不同操作的脚本(例如泄漏数据给第三方)。

+0

好的thx ..这就是我需要知道的! –

您必须通过https加载每个资源才能摆脱该警告。您可以将资源移动到支持加密的服务器,也可以通过https链接到外部资源。

如果您确实想要在https中加载http内容,您可以使用后端处理程序来执行此方法,该后端处理程序负责使用包括哈希在内的自我伪造链接下载和公开所需内容。然后解决安全问题,并通过https访问内容。

Dealing with HTTP content in HTTPS pages

相关推荐