Как обслуживать статический контент без https на защищенном сайте?

8

Я хочу показывать статический контент с моего сайта, но мой сайт только для https. Мой статический http-сервер обслуживает только http-контент (не https), но многие пользователи IE жалуются на невозможность входа в систему.

Что мне нужно сделать? Должен ли я добавить https на мой http-сервер со статическим контентом?

https internet-explorer licorna
источник

Ответы:

13

Internet Explorer и я думаю, что некоторые другие браузеры будут предупреждать пользователя, когда будут предоставлены ресурсы для сайта, использующего httpsпротокол http. Первое лучшее решение - разрешить серверу статических ресурсов предоставлять защищенный контент и использовать на своем сайте согласованный протокол. Вторым лучшим решением будет создание страницы на вашем защищенном сайте, которая является прокси-сервером, в основном вам нужно создать динамическую страницу, которая вызывает внешнюю страницу или ресурс и возвращает ее через этот прокси. То, как эта страница написана, зависит от того, какой динамический язык программирования доступен вам на защищенном сервере.

В основном IE имеет законную проблему безопасности с протоколами смешивания. Он знает, что может доверять httpsсерверу, но не доверяет тому http.

artlung
источник
1
Другие браузеры работают с менее шумной модой для смешанного контента, часто изменяя поведение значка «замка», на которое обращает внимание только половина интернет-пользователей. Я согласен, что IE делает «правильную вещь (TM)», выдавая очевидное предупреждение. Это правильно, некоторые элементы были отправлены надежно, а некоторые нет.
Тим Пост
Чем раньше будет встроенная поддержка блокировки файлов cookie для HTTP при использовании HTTPS, тем быстрее это сообщение может исчезнуть и перестать вызывать проблемы. Это не похоже на дополнительные заголовки HTTP, которые даже требуются для статического контента, который подается вне страницы HTTPS.
Metalshark
2
@Metalshark: это гораздо больше, чем о печенье. Когда вы смотрите на страницу HTTPS, вы хотите быть в состоянии доверять всему, что оно говорит. Кто-то может подделать изображение и заменить то, что оно показывает / говорит, например. Вы также хотите связать с доверенными, неизмененными сценариями.
Бруно
0

Я думаю, вам нужно прояснить ваше мышление, потому что ваш вопрос не имеет смысла.

Статические и безопасные не являются взаимоисключающими и даже не связаны друг с другом. Вы можете иметь безопасный статический контент и незащищенный нестатический контент. Безопасный означает только то, что он зашифрован (SSL, то есть https). Статический означает, что он не генерируется для каждого запроса для клиента. Это две принципиально разные концепции.

Если вы не перепутаете свою терминологию, я бы спросил, почему ваш безопасный сервер не может обслуживать статический контент. Я предполагаю, что это так, поэтому вам просто нужно поместить статический контент на защищенный сервер, и тогда браузер не будет жаловаться на смешанный контент http / https, потому что все это будет https. Если на защищенном сервере действительно есть какое-то техническое ограничение, которое не позволяет ему обслуживать статический контент (например, он даже не может обслуживать файл CSS), тогда да, вам стоит посмотреть на добавление SSL на другой сервер, который вы используете.

SW
источник