我有一个使用SSL的移动网站。 我们需要播放一些音频文件,遗憾的是不能用ssl播放 如果我通过http为他们服务他们玩得很好 问题是,如果我这样做,我是否会破坏ssl提供的安全性?
由于
答案 0 :(得分:2)
如果您有资源,最好的方法是让您的服务器通过SSL接收来自用户的请求,然后动态创建一个常规HTTP URL,客户端可以从该URL重定向以接收内容。通过此链接除了音频之外绝对没有其他任何东西,并且不要交换任何cookie /令牌/键等。另外,如果您使用令牌跟踪会话,请务必在cookie上设置安全标志,以便用户的浏览器不会除非通过SSL / HTTPS连接,否则不传输令牌的内容,否则令牌将在重定向后通过HTTP以明文形式发送。实现此目的的技术因平台而异,否则我将提供更具体的说明来完成此任务。但是,它很常见,所以应该很容易找到。
这也可能有助于提高性能,因为通过避免加密SSL,您将在服务器端节省大量处理。只要音频不敏感,这就是要走的路。祝你好运!
答案 1 :(得分:0)
首先提出一个问题。您是否尝试在默认浏览器中播放这些音频,或者您是否有播放它的应用程序? (我的猜测是你使用浏览器,因为你不能改变客户端)。
如果您对问题有更多背景知识,那将会非常有用。通过这种方式,人们可能会提出各种有趣的解决方法。
此外,您还想检查浏览器将如何处理它。例如,一些浏览器抱怨这些事情(不安全的内容)。某些用户可能会关闭它。
我认为ssl会幸存下来(你不会瘫痪它):)然而,这些音频将清晰开放,适用于所有类型的攻击(ssl阻止)。所以,最关键的问题是你是否关心。
如果你播放一些简单的音效,你可能不会核心。如果您播放一些专有的有声读物,对您来说可能是非常重要的。
更新1
还有一个想法(对不起,我将无法提供经过全面测试的解决方案,因为我在这里不够深入。)
您是否考虑使用脚本(通过安全通道)下载此音频,将其存储在本地存储中(我相信HTML 5允许它)或将其存储在内存中并从本地存储中清除它。
这样你就可以解决问题了。
答案 2 :(得分:0)
我认为只要不能注入脚本就可以了。攻击者仍然可以替换视频,可能是为了利用视频解码器中的漏洞或更平凡的网络钓鱼。这也意味着您无法保护视频的机密性。