Kết nối HTTPS là không an toàn do hình ảnh

Tôi hiện đang làm việc trên một trang web và tôi đã cài đặt thành công chứng chỉ SSL của mình.

Trình kiểm tra SSL / TLS GeoTrust xác nhận rằng chuỗi chứng chỉ (bao gồm CA) đã được cài đặt đúng. Mọi thứ đều ổn trên Chrome nhưng ổ khóa của tôi không có màu xanh và trên Firefox thực sự nói rằng trang web không an toàn vì có các yếu tố không được mã hóa trên đó.

Tôi đã sử dụng một dịch vụ trực tuyến để kiểm tra lý do tại sao và thực tế là hình ảnh của tôi không được coi là URL an toàn. Làm cách nào để xử lý tình huống này, hay làm thế nào để tôi nhúng hình ảnh vào trang web của mình một cách an toàn?

Thẻ hình ảnh của bạn hiện phải trông giống như:

<img src="http://example.com/images/image.jpg">

Điều đó httpcó nghĩa là hình ảnh KHÔNG được phục vụ an toàn. Kẻ tấn công có thể thay đổi hình ảnh trong quá trình và do đó thay đổi cách trang an toàn khác của bạn trông như thế nào đối với người dùng của bạn.

Thay vào đó, bạn có thể sử dụng bất kỳ cách nào sau đây để phục vụ hình ảnh một cách an toàn:

• Liên kết httpsrõ ràng:<img src="https://example.com/images/image.jpg">
• Sử dụng liên kết tương đối với hình ảnh trên tên miền của riêng bạn: <img src="/images/image.jpg">
• Sử dụng giao thức liên kết tương đối để sử dụng hình ảnh từ các miền khác: <img src="//example.com/images/image.jpg">

Rõ ràng httpssẽ luôn phục vụ hình ảnh một cách an toàn (ngay cả khi trang không được phục vụ an toàn) trong khi liên kết tương đối sẽ chỉ phục vụ hình ảnh một cách an toàn nếu trang được phục vụ an toàn.

Trong Firefox và chrome, bạn có thể nhấp vào ổ khóa và nhận thêm thông tin về sự cố. Làm như vậy, đây là một ảnh chụp màn hình từ Firefox hiển thị danh sách tất cả các hình ảnh trên trang. Thật dễ dàng để quét danh sách và xem những cái nào là http:

Vấn đề là trang của bạn đang phục vụ các liên kết từ một vị trí http trái ngược với https. Điều này là do sử dụng các liên kết http tuyệt đối để tham chiếu các tài nguyên như hình ảnh. Có hai phương pháp tốt hơn sẽ cho phép bạn tham chiếu các liên kết trong http hoặc https và tránh vấn đề này.

Nó yêu cầu bạn tìm các liên kết này và thay đổi chúng thành:

1. liên kết tương đối: tức là./wp-content/yourtheme/images/image1.jpg
2. hoặc đặt // ở phía trước tên miền như trong //example.com/wp-content/wp-content/yourtheme/images/image1.jpg Điều này sau đó sẽ phục vụ các tài nguyên này qua http hoặc https dựa trên bất kỳ yêu cầu nào được đưa ra.

Trong cả Chrome và Firefox, bạn có thể nhấp vào biểu tượng ổ khóa và sau đó nhấp qua để xem danh sách các liên kết không an toàn vi phạm. Và nếu bạn không thể thấy bất kỳ hình ảnh hoặc tài nguyên nào khác được tô sáng trong trình duyệt nhưng vẫn gặp lỗi, bạn có thể phát hiện ra rằng có một cuộc gọi javascript đang tham chiếu các liên kết hoàn toàn thông qua http .

Nó thực sự là cơ bản. Khi bạn đang xây dựng các trang web được cung cấp qua SSL (https), mọi tham chiếu trong mã của bạn không được mở đầu bằng https sẽ đưa ra các cảnh báo bảo mật - ngoại trừ các liên kết. Lưu ý rằng hầu hết (tất cả) trình duyệt cũng mặc định liên kết đến http. Vì vậy, nếu bạn muốn tham khảo /uploads/12/5/img.jpg hoặc /js/jquery.js, giao thức chuyển sẽ mặc định thành http - điều này thực sự gây phiền nhiễu.

Tất cả các trình duyệt xử lý các cảnh báo khác nhau một chút nhưng bạn sẽ nhận được một số loại tin nhắn. Một tuyên bố chung là trình duyệt càng mới thì thông điệp sẽ càng nghiêm trọng. Một số trình duyệt cũ hơn thực tế bỏ qua các lỗi này trong khi các trình duyệt mới hơn có thể hoạt động như thế giới của bạn đang bị tấn công do thiếu "s".

Nếu không có gợi ý nào trong số này giúp ích khi không thể hiển thị hình ảnh sau khi bạn bật SSL trên trang web của mình, thì hãy kiểm tra trong trường hợp cài đặt của cPanel cho Hotlinks, trong phần Bảo mật của cPanel. Rất có thể trong cài đặt này, bạn có các mục sau: http://example.comvà http://www.example.comđược bật để cho phép truy cập hình ảnh trong khi httpsphiên bản này không được bật.

Kiểm tra cấu hình giao thức url an toàn của bạn trong cms / wordpress / magento hoặc bất kỳ nền tảng nào khác mà bạn đang sử dụng. Bạn cũng có thể chia sẻ một số thẻ hình ảnh của mình, nhưng hình ảnh img src cơ bản không gây ra loại lỗi đó.

Cấu trúc thẻ hình ảnh rất quan trọng, nhưng trọng tâm của câu hỏi của bạn Tôi nghĩ nó liên quan đến "loại" Chứng chỉ SSL được cài đặt trên trang web của bạn. Một trường hợp cá nhân đã xảy ra với tôi với "Chứng chỉ SSL GoDaddy tiêu chuẩn.

Bạn sẽ thấy một biểu tượng cảnh báo trong thanh tìm kiếm url của Firefox (cụ thể), nói rằng có thể có hình ảnh hoặc thành phần không an toàn trên trang web của bạn. Theo như tôi biết thì đó chỉ là vấn đề làm thế nào firefox xử lý thông tin về chứng chỉ, hoặc thông tin có trong đó. Điều này không xảy ra trong safari, chrome hoặc các trình duyệt khác. Tôi đã tìm thấy giải pháp cho việc này, cài đặt thay vì "SSL tiêu chuẩn", "Chứng chỉ SSL cao cấp hoặc chứng chỉ xác thực mở rộng EVC " có thông tin chi tiết hơn về công ty trang web. Bạn sẽ nhận được một thanh url an toàn ổ khóa màu xanh lá cây.

Tuy nhiên, chứng chỉ ssl cao cấp có thể đắt hơn một chút, khoảng $ 150- $ 200 USD một năm.