Traiter avec l'adresse HTTP du contenu dans les pages HTTPS

Nous avons un site qui est entièrement accessible via HTTPS, mais parfois affichage de contenu externe qui est HTTP (images à partir de flux RSS, principalement). La grande majorité de nos utilisateurs sont également collé sur IE6.

J'ai l'idéal serait de faire les deux opérations suivantes

  • Empêcher l'IE message d'avertissement sur un contenu non sécurisé (afin que je puisse montrer moins sévère, par ex. en remplaçant les images par défaut avec une icône comme ci-dessous)
  • Présenter quelque chose d'utile pour les utilisateurs à la place des images qu'ils ne peuvent pas voir autrement; si il y avait une certaine JS j'ai pu courir à comprendre que les images n'ont pas été chargés et de les remplacer par une image de la nôtre au lieu de cela, ce serait super.

J'imagine que le but premier n'est tout simplement pas possible, mais le second peut être suffisant.

Le pire des cas, c'est que j'ai analyser le flux RSS lorsque nous importer, de saisir les images, de les stocker localement afin que les utilisateurs puissent y accéder de cette façon, mais il semble comme beaucoup de douleur pour raisonnablement peu de gain.

InformationsquelleAutor El Yobo | 2010-06-10
  1. 146

    Votre pire scénario n'est pas aussi mauvais que vous le pensez.

    Vous êtes déjà l'analyse du flux RSS, vous avez déjà l'image d'Url. Disons que vous avez un URL de l'image comme http://otherdomain.com/someimage.jpg. Vous réécrivez cette URL https://mydomain.com/imageserver?url=http://otherdomain.com/someimage.jpg&hash=abcdeafad. De cette façon, le navigateur fait une requête https, afin que vous vous débarrasser de ces problèmes.

    La prochaine partie - créer une page proxy ou servlet qui effectue les opérations suivantes -

    1. Lire le paramètre de l'url de la chaîne de requête, et de vérifier le hachage
    2. Télécharger l'image depuis le serveur, proxy et de revenir au navigateur
    3. En option, les images en cache sur le disque

    Cette solution présente certains avantages. Vous n'avez pas à télécharger l'image au moment de la création de l'html. Vous n'avez pas à stocker les images localement. Aussi, vous êtes apatride; l'url contient toutes les informations nécessaires pour servir de l'image.

    Enfin, le paramètre de hachage est pour la sécurité, vous ne voulez que votre servlet pour servir des images pour les url que vous avez construit. Ainsi, lorsque vous créez l'url, de calculer, de md5(image_url + secret_key) et d'ajouter que le paramètre de hachage. Avant de vous servir de la demande, de recalculer la valeur de hachage et de le comparer à ce qui a été transmis à vous. Depuis le secret_key n'est connue que de vous, personne d'autre ne peut construire des url valides.

    Si vous développez en java, Servlet est juste quelques lignes de code. Vous devriez être capable de port le code ci-dessous sur un autre back-end de la technologie.

    /*
targetURL is the url you get from RSS feeds
request and response are wrt to the browser
Assumes you have commons-io in your classpath
*/

protected void proxyResponse (String targetURL, HttpServletRequest request,
 HttpServletResponse response) throws IOException {
    GetMethod get = new GetMethod(targetURL);
    get.setFollowRedirects(true);    
    /*
     * Proxy the request headers from the browser to the target server
     */
    Enumeration headers = request.getHeaderNames();
    while(headers!=null && headers.hasMoreElements())
    {
        String headerName = (String)headers.nextElement();

        String headerValue = request.getHeader(headerName);

        if(headerValue != null)
        {
            get.addRequestHeader(headerName, headerValue);
        }            
    }        

    /*Make a request to the target server*/
    m_httpClient.executeMethod(get);
    /*
     * Set the status code
     */
    response.setStatus(get.getStatusCode());

    /*
     * proxy the response headers to the browser
     */
    Header responseHeaders[] = get.getResponseHeaders();
    for(int i=0; i<responseHeaders.length; i++)
    {
        String headerName = responseHeaders[i].getName();
        String headerValue = responseHeaders[i].getValue();

        if(headerValue != null)
        {
            response.addHeader(headerName, headerValue);
        }
    }

    /*
     * Proxy the response body to the browser
     */
    InputStream in = get.getResponseBodyAsStream();
    OutputStream out = response.getOutputStream();

    /*
     * If the server sends a 204 not-modified response, the InputStream will be null.
     */
    if (in !=null) {
        IOUtils.copy(in, out);
    }    
}
    • Très saine, et je pense que c'est ce que je vais rouler avec. Nous sommes à l'aide de PHP, mais la mise en œuvre sera aussi trivial. Je vais également mettre en œuvre la mise en cache de notre côté, car je ne veux pas de télécharger l'image à chaque fois que quelqu'un en fait la demande (pour les performances et l'utilisation de la bande passante). Les suggestions pour l'approche en matière de sécurité sont son (bien que nous allons aussi s'appliquer à nos standards de sécurité modèle ainsi que le ci-dessus) ainsi. Merci pour votre suggestion.
    • La seule grave inconvénient de cette approche est que vous êtes de routage toutes les ressources externes par le biais de vos propres systèmes. Ce qui n'est pas seulement une responsabilité, mais aussi peut obtenir assez coûteux.
    • Je seconde @TimMolendijk, ajoutant qu'il n'ajoute pas seulement les coûts et la maintenance, mais aussi des défaites tout Cdn, qui devait route à près de serveurs ou de l'équilibre de ceux qui sont inactifs.
    • Quelqu'un connait un lien pour le .Net code équivalent?
    • Quelle est la solution pour NodeJS?
    • un autre +1 pour @TimMolendijk mais quelle serait la solution alors? site servi par le protocole HTTPS ne semble pas jouer gentiment avec les images livrées via HTTP
    • Essayez d'utiliser votre serveur proxy, comme mentionné ici: stackoverflow.com/a/21537530/840315 apache 2.4 url: httpd.apache.org/docs/2.4/rewrite/proxy.html
    • Pouvez-vous faire cela pour audio mp3? serveur php

    InformationsquelleAutor Sripathi Krishnan
  2. 12

    Si vous êtes à la recherche d'une solution rapide à charger des images sur HTTPS, alors le libre service reverse proxy à https://images.weserv.nl/ peut vous intéresser. C'était exactement ce que je cherchais.

    Si vous êtes à la recherche d'un solution, je l'ai déjà utilisé Cloudinary.com qui fonctionne aussi bien mais il est trop cher pour cette seule tâche, à mon avis.

    • Quel est le piège? Fonctionne très bien
    • J'ai été en utilisant des conditions relativement lourde charge pour 2 ans. Fonctionne très bien! Bravo pour les deux développeurs.
    InformationsquelleAutor nullable
  3. 3

    Je ne sais pas si cela pourrait convenir à ce que vous faites, mais comme une solution rapide, je "wrap", le contenu du protocole http en https script. Par exemple, sur votre page, qui est servi par https, je voudrais introduire un iframe qui permettrait de remplacer votre flux rss et à la src attr de l'iframe mettre l'url d'un script sur votre serveur et qui capte l'alimentation et les sorties de l'html. le script est la lecture de l'alimentation via http et sorties via https (donc le "wrapping")

    Juste une pensée

    • Il me semble que ce serait de me laisser dans la même situation que je suis maintenant, je suis déjà à montrer le contenu dans une page HTTPS - le problème est qu'il y a <img> balises dans le contenu avec http:// src valeurs ne sont pas affichées et causer un message ennuyeux de se produire.
    • eh bien, oui, si vous conservez les originaux des liens vers les images, il n'y a aucun moyen d'éviter le problème. Le script aurait à analyser le contenu des fils rss pour les images et de les supprimer. Comme vous l'avez mentionné dans un autre commentaire, et vous ne voulez pas charger le contenu qui provoque le message et de montrer quelque chose d'instructif à la place. C'est la raison pour laquelle le script "dans le milieu"
    • Vous pouvez même le faire sans l'iframe, droit dans votre backend script, mais dans ce cas, vous êtes en attente pour le flux rss de revenir avant d'être traitées et de sortie sur une page. J'allais faire une iFrame afin que votre page se charge en mode asynchrone avec les flux rss. Il y a aussi ajax option si vous voulez y aller pour éviter l'iframe. Juste curieux - qu'est-ce que votre backend plate-forme?
    InformationsquelleAutor Raine
  4. 2

    Au sujet de votre deuxième exigence: vous pourriez être en mesure d'utiliser l'événement onerror, c'est à dire. <img onerror="some javascript;"...

    Mise à jour:

    Vous pouvez également essayer une itération à travers document.images dans les dom. Il y a un complete propriété booléenne qui vous pourriez être en mesure d'utiliser. Je ne sais pas pour vous si cela sera approprié, mais peut être utile de l'examiner.

    • Intéressant, je ne connaissais même pas il y a est un événement onerror. J'aimerais avoir à réécrire le code HTML (comme il provient d'une source externe), mais c'est déjà être désinfectés avec de l'HTML purificateur, donc à ajouter que, comme un filtre peut être possible.
    • Ne sera pas n'importe quel navigateur avertissement de sécurité se produisent avant JavaScript a eu la chance de faire quoi que ce soit?
    InformationsquelleAutor UpTheCreek
  5. 0

    Il serait préférable d'avoir le contenu du protocole http à https

    • Si je n'ai pas que cela soit clair dans ma question, à l'adresse HTTP du contenu d'autres personnes du serveur n'est pas la mienne. Plus précisément, il est <img> liens en HTML que j'ai récupéré à partir de flux RSS. Je l'ai déjà souligné cela dans la question maintenant.
    • Ah ok, serait webproworld.com/webmaster-forum/threads/... de l'aide à tous?
    InformationsquelleAutor Daniel
  6. 0

    Parfois, comme dans facebook apps, nous ne pouvons pas avoir de non-sécuriser le contenu dans la page sécurisée. nous ne pouvons pas faire de ces contenus. par exemple une application qui vous permettra de charger dans l'iFrame n'est pas un simple contenu et nous ne pouvons pas faire local.

    Je pense que nous ne devrions jamais charger l'adresse http du contenu en https, il convient également de ne pas secours page https vers http version d'éviter les erreurs de dialogue.

    le seul moyen qui permettra d'assurer la sécurité de l'utilisateur est d'utiliser le protocole https version de tous les contenus, http://developers.facebook.com/blog/post/499/

    • Cela peut être possible avec facebook, mais pas pour tout le contenu, et cette question n'était pas sur facebook.
    InformationsquelleAutor Mohammad Ali Akbari
  7. 0

    Accepté la réponse m'a aidé à mettre à jour cette fois de PHP ainsi que de la SCRO, j'ai donc pensé que je pourrais inclure la solution pour les autres:

    pur PHP/HTML:

    <?php //(the originating page, where you want to show the image)
//set your image location in whatever manner you need
$imageLocation = "http://example.com/exampleImage.png";

//set the location of your 'imageserve' program
$imageserveLocation = "https://example.com/imageserve.php";

//we'll look at the imageLocation and if it is already https, don't do anything, but if it is http, then run it through imageserve.php
$imageURL = (strstr("https://",$imageLocation)?"": $imageserveLocation . "?image=") . $imageLocation;

?>
<!-- this is the HTML image -->
<img src="<?php echo $imageURL ?>" />

    javascript/jQuery:

    <img id="theImage" src="" />
<script>
    var imageLocation = "http://example.com/exampleImage.png";
    var imageserveLocation = "https://example.com/imageserve.php";
    var imageURL = ((imageLocation.indexOf("https://") !== -1) ? "" : imageserveLocation + "?image=") + imageLocation;
    //I'm using jQuery, but you can use just javascript...        
    $("#theImage").prop('src',imageURL);
</script>

    imageserve.php
    voir http://stackoverflow.com/questions/8719276/cors-with-php-headers?noredirect=1&lq=1 pour en savoir plus sur la SCRO

    <?php
//set your secure site URL here (where you are showing the images)
$mySecureSite = "https://example.com";

//here, you can set what kinds of images you will accept
$supported_images = array('png','jpeg','jpg','gif','ico');

//this is an ultra-minimal CORS - sending trusted data to yourself 
header("Access-Control-Allow-Origin: $mySecureSite");

$parts = pathinfo($_GET['image']);
$extension = $parts['extension'];
if(in_array($extension,$supported_images)) {
    header("Content-Type: image/$extension");
    $image = file_get_contents($_GET['image']);
    echo $image;
}
    InformationsquelleAutor CFP Support
  8. -2

    Simplement: NE PAS le FAIRE. L'adresse Http du Contenu dans une page HTTPS est par nature précaire. Point. C'est pourquoi IE affiche un avertissement. Se débarrasser de l'avertissement est une bête de la foutaise approche.

    Au lieu de cela, une page HTTPS devrait seulement ont contenu HTTPS. Assurez-vous que le contenu peut être chargé via HTTPS, trop, et le référencer via https si la page est chargée via le protocole https. Pour du contenu externe, cela signifie le chargement et la mise en cache des éléments localement, de sorte qu'ils sont disponibles via https - sûr. Pas moyen de contourner cela, malheureusement.

    L'avertissement est là pour une bonne raison. Sérieusement. Passez 5 minutes à penser comment vous pourrait prendre plus d'un https page avec du contenu personnalisé, vous serez surpris.

    • Facile, je suis conscient qu'il y a une bonne raison pour cela; je pense que IE comportement est mieux que FF à cet égard. Ce que je recherche est pas pour charger le contenu; je veux juste éviter l'intrusion de popup style alerte et de montrer quelque chose d'instructif à la place du contenu.
    • Aucune chance pour que, à moins de réécrire le code HTML sur le moyen de sortir. Tout javascript poste de charge tentative a déjà montré la boîte de dialogue.
    • Il a demandé à propos des images et il n'est pas demandé tout d'insécurité de texte ou un script afin que nous puissions passer par la mise en garde par la réécriture d'url.
    • Pas de changement à la réponse. Les Images peuvent également être précaire. Il isa chose générale, - soit il provient de l'assuré à la source, orit peut être remplacé par un homme au milieu attaque.
    • Downvoted parce que ce "réponse" n'ai pas la réponse à la façon de réaliser les OP de l'objectif.
    • en fait, il n' -- vaguement -- mais au fond, il a suggéré la même chose de la accepté de répondre à n' (voir: paragraphe 2, phrase 3 de cette réponse) -- il n'avait tout simplement pas fournir toute mise en œuvre, ou des détails de sécurité -- encore, il est bien connu motif...

    InformationsquelleAutor TomTom
  9. -3

    Je me rends compte que c'est un vieux thread mais une option, c'est juste pour enlever le http: la partie de l'URL de l'image, de sorte que " http://some/image.jpg "devient" //some/image.jpg'. Cela permettra également de travailler avec les Cdn

    • Ce sera parfois le travail et parfois non; cela dépend si le contenu en amont est disponible via le protocole HTTPS. Si non, il suffit de le casser.
    InformationsquelleAutor Shmarkus
  10. -3

    Meilleure façon de travailler pour moi 

    <img src="/path/image.png" />//this work only online
    or
    <img src="../../path/image.png" /> //this work both
    or asign variable
    <?php 
    $base_url = '';
    if($_SERVER['HTTP_HOST'] == 'localhost')
    {
         $base_url = 'localpath'; 
    }
    ?>
    <img src="<?php echo $base_url;?>/path/image.png" />
    InformationsquelleAutor sandeep kumar