我目前正在我的本地主机上设计一个社交网络,该网络也涉及到论坛方面。用户可以在网站上做三件事,这引起了我的一些担忧。
由于#1,我将整个网站设为https。因此,无论用户在网站上的哪个位置,他们都可以登录并且他们的整个会话都将被加密。此功能运行良好,但我担心Mixed Content Warnings。
现在我正在考虑将整个网站设为安全b / c,如果按照这种方式保留它,是否会为每个有外部网站链接的页面或外部网站的图像显示混合内容警告?不幸的是我从未见过这个警告b / c我使用的浏览器似乎都没有显示给我。我搜索了一些显示此警告的浏览器列表,但没有我能找到的有限列表。所以这很尴尬b / c我很担心并试图避免一件我从未见过的事情。但我想到了一个解决方案。
我目前关于如何解决图像问题的想法是在用户发布论坛并将其写入我的磁盘时从用户处获取图像,并提供新的图像链接。我很确定这正是谷歌图像保持https,同时显示来自http网站的数百万图像。我认为他们把它们都写到了自己的服务器上。示例:
所以我认为我找到了图像问题的解决方案,但外部链接怎么样?因为当用户将他们的墙上的链接发布到https://stackoverflow.com/时,我会阅读帖子并用锚标记将其包围,因此从技术上来说,浏览器不是没有安全内容吗?那会不会发出警告?
我怎么能解决这个问题而不是惹恼我的用户?你有更好的解决我的图像问题的方法吗?感谢大家阅读我的困惑。
答案 0 :(得分:0)
链接一般都可以。它们不会仅仅通过将它们包含在页面中而生成任何警告。点击时可以执行以下操作:当页面从HTTPS导航到HTTP时,某些浏览器会显示警告。但在这种情况下,默认情况下“永远不会再显示此警告”,因此几乎每个人都会在浏览的第一天点击它并且永远不会再看到它。
检测用户提供的图像链接,在发布时获取它们然后重新提供它们都可以工作,但这要做很多工作(我不认为我见过其他论坛这样做)并且有一些安全警告 - 例如,您希望从单独的域提供图像以避免XSS内容嗅探问题(例如Google使用gstatic.com),并设置限制以避免导致拒绝服务的大量图像
剩下的情况是iframe嵌入,有些用户可能想要发布,例如YouTube视频。在这里,您可以将iframe源限制为支持HTTPS的已知良好服务。