L'utente ha fornito immagini su un sito HTTPS senza avvisi di contenuto misto

Ho un forum in cui, come la maggior parte dei forum, gli utenti possono pubblicare immagini. Ho impostato HTTPS su tutto il sito, ma ovviamente la maggior parte delle immagini esterne sono collegate tramite HTTP, non HTTPS. Quindi il caricamento del forum su HTTPS mostra avvisi di contenuto misto, ecc.

Quali sono alcune strategie per affrontare questo problema? Alcune immagini provengono dal mio sito, quindi posso riscrivere quegli URL per utilizzare HTTPS poiché so che funzionerà. Ma per gli URL esterni molti non funzionano con HTTPS, quindi non posso eseguire una riscrittura generale.

Potrei riscrivere immagini non sicure su collegamenti anziché immagini incorporate, ma ciò non sembra eccezionale e può essere fonte di confusione per gli utenti. Qualche soluzione migliore?

https images

— DisgruntledGoat
fonte

Potresti usare camo ...

— wb9688,

Google non ha risolto questo problema per la ricerca di immagini. La ricerca di immagini è "non sicura:" i.imgur.com/8XVTQsi.png

— Stephen Ostermiller

Vedi anche su StackOverflow:

— Gestione del

Meglio non lo so, e potrebbe essere in contrasto con la legislazione sul copyright, ma una soluzione tecnica sarebbe quella di fare una copia dell'immagine e servire da un dominio sotto il tuo controllo, su HTTPS ...

— un CVn

Il modo sbagliato: al momento del salvataggio / modifica è possibile applicare la logica per riscrivere tutti i dati che si intende siano src="http://someimage.jpg"relativi al relativo strutturato src="//someimage.jpg"... o semplicemente convalidarli. Se si desidera un rigoroso lucchetto verde (in cui un'immagine insicura non vincerà il lucchetto) applicare HSTS. Quindi nell'interfaccia dell'editor prendere nota che le immagini attualmente devono essere disponibili tramite HTTPS, altrimenti non verranno visualizzate affatto. Qualcosa come "Oops, hai commesso un errore. Per prevenire abusi e attacchi MITM, tutti i media devono utilizzare HTTPS. Torna indietro e correggilo o scegli un altro fornitore di immagini".

— Dhaupin,

Risposte:

Non è possibile disporre di risorse non sicure in una pagina protetta e non ricevere l'avviso di contenuto misto.

Per i programmi utente che la supportano, la upgrade-insecure-requestsdirettiva è un'istruzione per tentare di caricare la risorsa su https o tentare di fallire.

Altri programmi utente ignoreranno la direttiva, continuando a caricare risorse non sicure.

Ecco un articolo sul sito degli sviluppatori di Google che discute questa e altre opzioni.

— Robert K. Bell
fonte

Ho appena realizzato che non ho mai pubblicato la mia soluzione. La risposta fornita nel commento di Stephen è ciò che mi ha risolto. In breve, ho creato uno script proxy che procede come segue:

Se l'immagine è https, lasciarla sola.
Se l'immagine è http e da un sito noto per supportare https (ad esempio il mio sito, imgur.com ecc.), Riscrivi su https.
Altrimenti se l'immagine è http, riscriverla per usarla http://example.com/imgproxy?img=ORIGINALURL&hash=KEY

Quindi lo script proxy recupera l'immagine HTTP, la memorizza nella cache in locale e genera i dati dell'immagine. Su richieste ripetute genera direttamente i dati memorizzati nella cache. La risposta SO collegata descrive l'hash di sicurezza e altri dettagli.

— DisgruntledGoat
fonte