https 웹 사이트에 http 콘텐츠로드

Question

https를 사용하는 웹 사이트 아키텍처에 대해 생각하고 있습니다. 이제 이미지, CSS 및 기타 정적 파일을 호스팅하는 CDN 서버가 있습니다.

웹 사이트 자체가 민감한 costumer 데이터를 보호하기 위해 HTTPS를 사용하고 있습니다. 'https://www.example.com'웹 사이트의 'http://cdn.example.com/images/test.jpg'와 같이로드 된 정적 이미지를 사용하면 '안전하지 않은 데이터로드 중'메시지가 표시됩니까?

SECURED 웹 사이트에 외부 NOT SECURED 데이터를로드하는 중입니다. 이로 인해 "안전하지 않은 데이터로드 중, 계속 하시겠습니까?"라는 팝업 경고가 표시됩니까?

Thx!

Answer 1

예.

페이지가 HTTPS를 통해로드되는 경우 HTTPS를 통해로드되는 모든 리소스도 HTTPS를 통해로드되어야합니다.

그렇지 않은 경우 중간자는 이미지를 오해의 소지가있는 이미지 (브라우저에서 버퍼 오버 플로우 문제를 악용하여 코드를 실행하는 이미지) 및 다른 작업을 수행하는 스크립트 (예 : 타사 데이터 누출).

Answer 2

경고를 제거하려면 https를 통해 모든 리소스를로드해야합니다. 암호화를 지원하는 서버로 자원을 이동하거나 https를 통해 외부 자원에 링크 할 수 있습니다.

Answer 3

실제로 HTTP 콘텐츠를 https로로드하려는 경우 해시를 포함한 자체 위조 링크로 필요한 콘텐츠를 다운로드하고 노출하는 백엔드 처리기를 사용하여이 방법을 수행 할 수 있습니다. 그러면 보안 문제가 해결되고 https를 통해 콘텐츠에 액세스 할 수있게됩니다.

Dealing with HTTP content in HTTPS pages