2

私は現在、ローカルホストでソーシャルネットワークを設計していますが、これにはフォーラムの側面も含まれています。このサイトでユーザーができることは 3 つあります。

  1. サイトの任意のページからヘッダーを介してプロフィールにログインします。
  2. 外部サイトへのリンクを含むものをウォールに投稿します。
  3. 外部サイトへのリンクや外部サイトの画像など、さまざまなものをフォーラムに投稿します。

#1のため、サイト全体をhttpsにしました。そのため、ユーザーがサイトのどこにいてもログインでき、セッション全体が暗号化されます. この機能はうまく機能していますが、私はMixed Content Warnings.

現在、サイト全体を安全な b/c にすることを 2 度考えています。このままにしておくと、外部サイトへのリンクや外部サイトからの画像があるすべてのページに混合コンテンツの警告が表示されますか? 残念ながら、私が使用しているどのブラウザでもこの警告が表示されないようです。そして、この警告を表示するブラウザのある種のリストを検索しましたが、見つけることができる有限のリストはありません。見たことのないことを心配して避けようとしているからです。しかし、私は1つの解決策を考えました。

画像の問題を修正する方法に関する私の現在の考えは、ユーザーがフォーラムに投稿したときに画像を取得し、それらをディスクに書き込み、新しい画像リンクを提供することです。これはまさに、http サイトからの何百万もの画像を表示しながら、Google 画像が https を維持する方法であると確信しています。彼らはすべて自分のサーバーに書き込んでいると思います。例:

https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcTj_52I-TSX79mQFJRLTDNGahtGbsh_BpYDp0H3hbzJDWK2qxPZ

それで、画像の問題の解決策を見つけたと思いますが、外部リンクはどうですか? たとえば、ユーザーがウォールにhttps://stackoverflow.com/へのリンクを投稿すると、その投稿を読んでアンカー タグで囲むため、技術的にはブラウザにとって安全なコンテンツではないのでしょうか? それは警告をスローしませんか?

これを修正し、ユーザーを困らせないようにするにはどうすればよいでしょうか? そして、私のイメージの問題に対するより良い解決策はありますか? 私の混乱を読んでくれてありがとう。

4

1 に答える 1

0

リンクは基本的にOKです。それらをページに含めるだけでは、警告は生成されません。クリックすると実行できます。一部のブラウザーは、ページが HTTPS から HTTP に移動するときに警告を表示します。しかし、その場合、デフォルトは「今後この警告を表示しない」であるため、ほとんどの人はブラウジングの最初の日にクリックしてしまい、二度と表示されなくなります.

ユーザーが提供した画像リンクを検出し、投稿時にそれらを取得してから再提供することは機能しますが、非常に多くの作業が必要です (他のフォーラムでそれを行っているのを見たことがないと思います)。セキュリティ上の警告 - たとえば、別のドメインから画像を提供して XSS コンテンツ スニッフィングの問題 (Google がgstatic.com.

残りのケースは、一部のユーザーが YouTube 動画などに投稿したい iframe 埋め込みです。ここで、iframe ソースを、HTTPS をサポートする既知の適切なサービスに制限できます。

于 2013-04-11T09:11:48.003 に答える