Giả sử trang web của tôi qua HTTPS và tôi cần tải một tài nguyên CSS hoặc Object từ HTTP, làm cách nào tôi có thể thực hiện việc này?Cho phép tải tài nguyên HTTP qua HTTPS
Xin lưu ý rằng tôi có thể thêm Content-Security-Policy vào tiêu đề phản hồi trên các trang web HTTPS nhưng tôi không biết chính xác cách tôi có thể thực hiện việc này. Ai đó có thể cho tôi một giải pháp?
Không có giải pháp. Các trình duyệt hiện đại sẽ từ chối sử dụng các tài nguyên không phải https vào các trang được phân phối bởi https bởi vì bạn đã làm suy yếu hiệu quả mô hình bảo mật của https theo cách này. CSP sẽ không giúp đỡ vì nó không khắc phục được vấn đề. Lựa chọn duy nhất của bạn là phân phát trang web bằng http hoặc proxy bao gồm từ các trang web không phải https bên ngoài bởi trang web của riêng bạn. Nhưng lưu ý rằng tùy chọn thứ hai cũng có thể ảnh hưởng đến mô hình bảo mật, vì bây giờ các tài nguyên bên ngoài này được xem là có nguồn gốc từ cùng một miền với nội dung của chính bạn và do đó có thể sử dụng sai chính sách gốc.
Là chủ sở hữu của trang web, tôi có thể quyết định xem có thể tải nội dung HTTP hay không. Bạn có chắc chắn không có giải pháp? –
Nếu bạn không cần bảo mật do HTTPS cung cấp, bạn có thể tự do cung cấp toàn bộ nội dung bằng HTTP. Nhưng ý tưởng là bất kỳ nội dung nào được đưa vào một trang HTTPS đều có cùng sự bảo vệ như chính trang đó, bởi vì nếu không nó có thể làm tổn hại đến bảo mật của trang. –
Cảm ơn lời giải thích rõ ràng của bạn. –