我正在考虑使用https的网站架构。我现在有一台托管图片,css和更多静态文件的CDN服务器。
网站本身使用HTTPS来保护敏感的客户数据。将使用静态图像,例如在网站“https://www.example.com”上加载“http://cdn.example.com/images/test.jpg”弹出“加载不安全数据”消息?
因此,在SECURED网站上加载外部未安全数据。 这是否会导致弹出警告“加载不安全数据,继续?”?
THX!
答案 0 :(得分:15)
是
如果页面是通过HTTPS加载的,那么它所使用的每个资源也应该通过HTTPS加载。
否则,中间人可以用误导性的图像替换图像(或者在浏览器中利用缓冲区溢出问题执行代码的图像)和使用执行不同操作的脚本(例如向第三方泄漏数据)
答案 1 :(得分:1)
如果您确实想要在https中加载http内容,则可以使用后端处理程序来执行此方法,该后端处理程序负责下载并使用包含哈希的自伪造链接公开所需内容。然后修复安全问题,您可以通过https访问内容。
答案 2 :(得分:0)
您必须通过https加载每个资源才能摆脱该警告。您可以将资源移动到支持加密的服务器,也可以通过https链接到外部资源。