Что означает предупреждение о смешанном содержимом из-за содержимого http вместо содержимого https?

Question

Что означает предупреждение о смешанном содержимом из-за содержимого http вместо содержимого https?

Я знаю, что, по сути, https шифрует данные, отправляемые и получаемые, поэтому мне кажется, что ничто не скомпрометировано, кроме данных, отправляемых на или с http, но этот вопрос больше для пояснения, так что содержание, обслуживаемое по http, делает другие данные небезопасны? Например, если я запрашиваю общедоступные изображения по протоколу http на моем сервере с помощью SSL, компрометирую ли я что-то еще, кроме данных этих изображений и конфиденциальности, которую пользователь просматривает?

0

ssl https http mixed-content

Источник

DJSweetness 21 ноя '17 в 19:42

1 ответ

Решение

Другие вопросы по тегам ssl https http mixed-content

ceejayoz 21 ноя '17 в 19:56 2017-11-21 19:56 · Accepted Answer · 2017-11-21 19:56

Chrome и Firefox (я не могу говорить с Safari и IE, они могут также) блокируют смешанный контент на странице HTTPS.

Если URL страницы имеет https как схема, все активы на этой странице должны быть загружены через HTTPS. Изображения, шрифты, JavaScript, iframes - если это не HTTPS, он не будет отображаться.

Это для защиты пользователя. Есть множество потенциальных атак. Изображение, загруженное по HTTP на странице HTTPS, может быть заменено другим изображением, что может стать проблемой, если лицо вашего соседа появится в списке самых разыскиваемых ФБР. Ресурс JavaScript, загруженный через HTTP, может быть MITMed для отправки вашей кредитной карты на сервер злоумышленника. и т.п.