在https网站上加载http内容

Question

我正在考虑我的网站架构，它使用了https..我现在有一个CDN服务器托管图像，css和更多的静态文件。

该网站本身正在使用HTTPS来保护敏感的客户数据。使用静态图片，例如通过网站'https://www.example.com‘上的'http://cdn.example.com/images/test.jpg’加载，会弹出“正在加载不安全数据”消息吗？

所以在一个安全的网站上加载外部的不安全的数据。这是否会导致弹出警告“正在加载不安全的数据，继续？”？

谢谢！

Answer 1

是。

如果页面是通过HTTPS加载的，那么它使用的每个资源也应该通过HTTPS加载。

否则，中间人可能会用误导性的图像(或者利用浏览器中的缓冲区溢出问题来执行代码的图像)替换图像，用做不同事情的脚本替换脚本(例如将数据泄露给第三方)。

Answer 2

您必须通过https加载所有资源才能摆脱该警告。您可以将资源移动到支持加密的服务器，也可以通过https链接到外部资源。

Answer 3

如果你真的想在https中加载http内容，你可以遵循这个方法，使用一个后端处理程序，负责下载和公开所需的内容，并使用包括散列在内的自伪造链接。然后，安全问题就解决了，您可以通过https访问内容。

Dealing with HTTP content in HTTPS pages