Google 도서 API를 사용하여 도서 이미지 페이지를 생성하는 HTTPS 사이트가 있습니다. 하지만 Google 도서의 북 커버 이미지는 HTTP를 통해서만 제공되므로 내 사이트의 책을 표시하는 모든 페이지에 대한 혼합 컨텐츠 경고가 발생합니다.HTTP API 콘텐츠가 포함 된 HTTPS 페이지 : 모범 사례
이 시나리오에서 권장되는 방법은 무엇입니까? 보시다시피, 세 가지 옵션이 있습니다 :
으로 두십시오. 내 페이지는 기술적으로 최종 사용자에게 안전하지 않으며 혼합 된 콘텐츠 경고를 표시합니다.
내 서버에 이미지를 캐시하고 사용자에게 로컬 복사본을 표시하십시오. 이렇게하면 혼합 된 콘텐츠 경고가 제거되지만,이 경우 내 서버는 HTTP를 통해 콘텐츠를 다운로드하기 때문에 MITM 공격 등에 취약 할 수 있습니다. 호소하지 않습니다.
API 사용을 중지하고 웹 사이트의 전체 기능을 스크랩합니다. 분명히 호소력있는 선택은 아닙니다.
이 중 아무 것도 좋지 않습니다. 내가 모르는 몇 가지 마법의 해결책이 있습니까?
멋지고 쉬울 것입니다. 하지만 꽤 투명하지 않은 것 같습니다. 실제로 최종 사용자에게 안전한 페이지를보고 있다는 인상을줍니다. 실제로 프록시 뒤에 숨겨진 보안되지 않은 콘텐츠가 표시됩니다. 여전히 # 1과 동일한 보안 문제가있는 것 같습니다. – penco
@penco 결정은 당신에게 달렸지 만 옵션 1을 사용하면 항상 사람들을 괴롭 히게됩니다. 진실되고 싶다면 처음으로 페이지를 방문 할 때 배너 또는 경고를 보내 사람들에게 알려주십시오. –
그들은 보안 페이지를보고 있습니다. 모든 HTTPS는 브라우저와 서버 간의 연결이 암호화되어 있는지 확인하므로 쿠키를 넘는 암호화는 보장하지 않습니다 (예 : Gmail 참조). IMO 옵션 1은 혼합 컨텐츠를 보는 것에 동의하는 것처럼 좋지 않습니다. 더 이상 서버에 대한 연결이 암호화되어 있는지 확인할 수 없기 때문에 더 이상 책 표지 이미지와 다른 HTTP 전용 컨텐츠가 있는지 알 수 없습니다. – SilverlightFox