Làm cách nào để phân phát nội dung tĩnh mà không có https trong một trang web an toàn?


8

Tôi muốn phục vụ nội dung tĩnh từ trang web của mình nhưng trang web của tôi chỉ có https. Máy chủ http tĩnh của tôi chỉ phục vụ nội dung http (không phải https) nhưng nhiều người dùng IE phàn nàn về việc không thể đăng nhập.

Tôi cần phải làm gì? Tôi có nên thêm https vào máy chủ http nội dung tĩnh của mình không?

Câu trả lời:


13

Internet Explorer và tôi nghĩ rằng một số trình duyệt khác sẽ cảnh báo người dùng khi tài sản cho một trang web sử dụng httpsgiao thức được phục vụ từ đó http. Giải pháp tốt nhất đầu tiên là cho phép máy chủ tài sản tĩnh của bạn phục vụ nội dung an toàn và để trang web của bạn sử dụng một giao thức nhất quán. Giải pháp tốt nhất thứ hai là tạo một trang trên trang web bảo mật của bạn là proxy, về cơ bản bạn cần tạo một trang động gọi trang bên ngoài hoặc tài sản và trả lại thông qua proxy đó. Cách trang đó được viết tùy thuộc vào ngôn ngữ lập trình động nào có sẵn cho bạn trên máy chủ bảo mật.

Về cơ bản IE có một vấn đề bảo mật hợp pháp với các giao thức trộn. Nó biết nó có thể tin tưởng httpsmáy chủ, nhưng không tin tưởng vào máy chủ http.


1
Các trình duyệt khác xuống cấp trong thời trang ít ồn ào hơn cho nội dung hỗn hợp, thường sửa đổi hành vi của biểu tượng 'ổ khóa' mà chỉ một nửa dân số Internet chú ý đến. Tôi đồng ý rằng IE đang thực hiện 'điều đúng đắn (TM)' bằng cách đưa ra một cảnh báo rõ ràng. Đó là chính xác, một số yếu tố đã được gửi một cách an toàn, một số thì không.
Tim Post

Càng sớm có hỗ trợ riêng để chặn cookie thành HTTP khi sử dụng HTTPS, thông báo này càng sớm biến mất và ngừng gây ra sự cố. Nó không giống như các tiêu đề HTTP bổ sung thậm chí còn muốn cho nội dung tĩnh được phân phát khỏi trang HTTPS.
Metalshark

2
@Metalshark: nó còn hơn cả về cookie. Khi bạn xem một trang HTTPS, bạn muốn có thể tin tưởng mọi thứ nó nói. Ai đó có thể giả mạo một hình ảnh và thay thế những gì nó hiển thị / nói, ví dụ. Bạn cũng muốn liên kết đến các tập lệnh đáng tin cậy, không thay đổi.
Bruno

0

Tôi nghĩ bạn cần làm rõ suy nghĩ của mình vì câu hỏi của bạn không thực sự có ý nghĩa.

Tĩnh và an toàn không loại trừ lẫn nhau hoặc thậm chí liên quan đến nhau. Bạn có thể có nội dung tĩnh an toàn và nội dung không tĩnh không an toàn. Bảo mật chỉ có nghĩa là nó được mã hóa (SSL, tức là https). Tĩnh có nghĩa là nó không được tạo theo yêu cầu cho khách hàng. Đây là hai khái niệm cơ bản khác nhau.

Nếu bạn không trộn lẫn thuật ngữ của mình, thì tôi sẽ hỏi tại sao máy chủ bảo mật của bạn không thể phục vụ nội dung tĩnh. Tôi đoán là có, vì vậy bạn chỉ cần đưa nội dung tĩnh của mình lên máy chủ bảo mật và sau đó trình duyệt sẽ không phàn nàn về nội dung http / https hỗn hợp vì tất cả sẽ là https. Nếu thực sự có một số giới hạn kỹ thuật trên máy chủ bảo mật ngăn nó phục vụ nội dung tĩnh (ví dụ: nó thậm chí không thể phục vụ tệp CSS), thì có, bạn nên xem xét thêm SSL vào máy chủ khác mà bạn đang sử dụng.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.