उपयोगकर्ता ने मिश्रित सामग्री चेतावनियों के बिना HTTPS साइट पर छवियों का योगदान दिया

9

मेरे पास एक फ़ोरम है, जहाँ अधिकांश फ़ोरम की तरह, उपयोगकर्ता चित्र पोस्ट कर सकते हैं। मैंने साइट पर HTTPS स्थापित किया है, लेकिन निश्चित रूप से अधिकांश बाहरी चित्र HTTP का उपयोग करके जुड़े हुए हैं, HTTPS के नहीं। इसलिए HTTPS पर फोरम को लोड करना मिश्रित सामग्री चेतावनी, आदि को दर्शाता है।

इस समस्या से निपटने के लिए कुछ रणनीतियाँ क्या हैं? कुछ चित्र मेरी अपनी साइट के हैं इसलिए मैं उन URL को फिर से लिखकर HTTPS का उपयोग कर सकता हूं क्योंकि मुझे पता है कि यह काम करेगा। लेकिन बाहरी URL के लिए कई HTTPS के साथ काम नहीं करते हैं, इसलिए मैं एक कंबल पुनर्लेखन नहीं कर सकता।

मैं इनलाइन छवियों के बजाय लिंक के लिए गैर-सुरक्षित छवियों को फिर से लिख सकता हूं, लेकिन यह बहुत अच्छा नहीं लगता है और उपयोगकर्ताओं के लिए भ्रामक हो सकता है। कोई बेहतर उपाय?

https  images 
DisgruntledGoat
स्रोत
2
आप कैमो का उपयोग कर सकते हैं ...
wb9688
2
Google ने छवि खोज के लिए इसे हल नहीं किया है। छवि खोज "सुरक्षित नहीं:" है i.imgur.com/8XVTQsi.png
स्टीफन Ostermiller
2
स्टीफन Ostermiller
1
बेहतर मुझे पता नहीं है, और यह कॉपीराइट कानून का पालन कर सकता है, लेकिन एक तकनीकी समाधान छवि की एक प्रतिलिपि बनाने और HTTPS से अधिक आपके नियंत्रण में एक डोमेन से सेवा करने के लिए होगा ...
एक CV
1
गरीब आदमी रास्ता: सहेजने / संपादित करने पर आप उन सभी डेटा को फिर से लिखने के लिए तर्क को लागू कर सकते हैं जो इसके बजाय src="http://someimage.jpg"सापेक्ष संरचित होने का इरादा रखते हैं src="//someimage.jpg"... या बस इसे मान्य करें। यदि आप एक सख्त हरे रंग का ताला चाहते हैं (जहां एक असुरक्षित छवि आपके लॉक को जीत नहीं पाएगी) तो एचएसटीएस लागू करें। फिर संपादक इंटरफ़ेस में यह नोट करें कि चित्र वर्तमान में HTTPS के माध्यम से उपलब्ध होने चाहिए, अन्यथा वे बिल्कुल नहीं दिखेंगे। कुछ ऐसा है "उफ़, आपने एक त्रुटि की। दुरुपयोग और MITM हमलों को रोकने के लिए, सभी मीडिया को HTTPS का उपयोग करना चाहिए। इसे वापस जाएं और इसे सही करें, या किसी अन्य छवि प्रदाता को चुनें।"
धापिन

जवाबों:

1

सुरक्षित पृष्ठ में असुरक्षित संसाधन होना संभव नहीं है, और मिश्रित सामग्री चेतावनी नहीं मिलती है।

इसका समर्थन करने वाले उपयोगकर्ता एजेंटों के लिए, upgrade-insecure-requestsनिर्देश एक निर्देश है जो संसाधन को https पर लोड करने का प्रयास करने या असफल प्रयास करने का निर्देश है।

अन्य उपयोगकर्ता एजेंट निर्देश को अनदेखा करेंगे, असुरक्षित संसाधनों को लोड करना जारी रखेंगे।

यहां Google डेवलपर्स साइट पर एक लेख है जिसमें इस और अन्य विकल्पों पर चर्चा की गई है।

रॉबर्ट के। बेल
स्रोत
1

बस एहसास हुआ कि मैंने अपना समाधान कभी पोस्ट नहीं किया। जवाब स्टीफन टिप्पणी में प्रदान की क्या यह मेरे लिए हल है। संक्षेप में, मैंने एक प्रॉक्सी स्क्रिप्ट बनाई है जो निम्नलिखित कार्य करती है:

  1. यदि छवि https है, तो इसे अकेला छोड़ दें।
  2. यदि छवि http है और https का समर्थन करने के लिए जानी जाने वाली साइट से है (उदाहरण के लिए मेरी अपनी साइट, imgur.com आदि) तो https में फिर से लिखें।
  3. अन्यथा यदि छवि http है, तो इसे उपयोग करने के लिए फिर से लिखें http://example.com/imgproxy?img=ORIGINALURL&hash=KEY

तब प्रॉक्सी स्क्रिप्ट HTTP छवि प्राप्त करती है, इसे स्थानीय रूप से कैश करती है, और छवि डेटा को आउटपुट करती है। बार-बार अनुरोध करने पर यह कैश्ड डेटा को सीधे आउटपुट करता है। जुड़ा हुआ एसओ उत्तर सुरक्षा हैश और अन्य विवरणों का वर्णन करता है।

DisgruntledGoat
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.