我有一个HTTPS网站,它使用Google Books API生成一个图书图片页面。但是,Google图书的图书封面图片只能通过HTTP获取,这会导致我网站上显示图书的任何页面都出现混合内容警告。
此方案中的推荐做法是什么?在我看来,我有三个选择:
保留为。我的页面在技术上对最终用户来说是不安全的,并且会显示混合内容警告。
在我的服务器上缓存图像并向用户显示本地副本。这将删除混合内容警告,但似乎在这种情况下我的服务器容易受到MITM攻击,因为它正在通过HTTP下载内容。听起来不太吸引人。
停止使用API并从网站上删除整个功能。显然不是一个吸引人的选择。
这些都不好看。是否有一些我不知道的魔术解决方案?
答案 0 :(得分:3)
我会选择2作为最透明的选项。实际上,您不需要缓存(如果您不需要它),而只需要一个将接收HTTPS请求的代理,发送HTTP请求并将收到的数据传递回HTTPS客户端。