0

私たちの製品にはサイトのコレクションがあり、メイン ページにはこれらの異なる Web サイトをロードする 3 つの iframe が含まれています。すべてのサイトで SSL を有効にします。html ユーザー データをシステムに表示することを許可します。現在、以下の理由により混合コンテンツの問題が発生しているため、これを保留しています。

  • http コンテンツを参照する、ユーザーのデータ内の一部の要素。例: img、js など
  • iframe に読み込まれるサードパーティの一部。(別のコンテンツ プロバイダー)

独自の Web プロキシを開発することを考えましたが、このソリューションのパフォーマンスと費用について懸念があります。混合コンテンツの問題に対する利用可能なソリューションと、購入可能なサードパーティの Web プロキシを教えてください。

4

3 に答える 3

2

最善の解決策は、おそらく何らかのサービスからリモート サーバーを購入し (Google は何百万ものヒットを提供します)、CGI スクリプトをセットアップして、安全でないコンテンツをリモート サーバーにロードし、キャッシュしてから、そのコンテンツを提供することです。こうすることで、ユーザーは第三者から保護され、それらのサーバーで SSL 証明書をセットアップすれば、混合コンテンツを簡単に回避できます。

そうは言っても、ユーザーのコンテンツをリモートサーバーからロードし始めると、すべてのキャッシュを開始する必要があるため、大きな問題が発生します。

于 2015-03-05T21:23:10.467 に答える
1

Web プロキシの使用は、次の理由から適切なソリューションではありません。

  • あなたが言ったように、このソリューションのパフォーマンスの問題と高価さがあります。
  • このソリューションの最も問題な点は、セキュリティの脆弱性がまだ残っていることです。サイトで https を使用するポイントは、サイトがスニッファーや中間者攻撃から保護されることです。Web プロキシを使用している場合、ブラウザとプロキシ間の接続は依然として脆弱です。
  • サーバーで SSL が有効になっている場合でも、ブラウザは常にこれらのリンクを http として解釈するため、Web プロキシが役立つかどうかはわかりません。

混合コンテンツの詳細: https://developer.mozilla.org/en-US/docs/Security/MixedContent

この状況に対処する正しい方法は、コンテンツを https でロードするようにすべてのリンクを変更することです。または、より良い方法は、プロトコルの相対 URLを使用することです

<script src="//scripts/main.js"></script>
于 2015-03-07T03:31:02.580 に答える