Załóżmy, że moja strona internetowa jest za pośrednictwem protokołu HTTPS i muszę załadować zasób CSS lub Object z HTTP, w jaki sposób mogę to zrobić?Zezwalanie na ładowanie zasobów HTTP przez HTTPS
Należy pamiętać, że jestem w stanie dodać Content-Security-Policy do nagłówków odpowiedzi na stronach internetowych HTTPS, ale nie wiem dokładnie, jak mogę to zrobić. Czy ktoś może mi dać rozwiązanie?
Nie ma rozwiązania. Współczesne przeglądarki odmawiają używania zasobów innych niż https na stronach obsługiwanych przez https, ponieważ skutecznie podważają w ten sposób model zabezpieczeń https. CSP nie pomoże, ponieważ nie rozwiązuje problemu. Twoim jedynym wyborem jest udostępnienie witryny przez http lub serwer proxy z zewnętrznych stron nienależących do https przez własną witrynę. Należy jednak zauważyć, że ta ostatnia opcja może również wpływać na model bezpieczeństwa, ponieważ obecnie te zasoby zewnętrzne są postrzegane jako pochodzące z tej samej domeny co własna treść, a zatem mogą niewłaściwie używać tej samej zasady pochodzenia.
Jako właściciel strony internetowej powinienem być w stanie zdecydować, czy ładowanie treści HTTP jest możliwe, czy nie. Czy na pewno nie ma rozwiązania? –
Jeśli nie potrzebujesz zabezpieczeń oferowanych przez HTTPS, możesz podać pełną treść za pomocą protokołu HTTP. Chodzi jednak o to, aby każda treść zawarta na stronie HTTPS miała taką samą ochronę jak sama strona, ponieważ w przeciwnym razie może zagrozić bezpieczeństwu strony. –
Dzięki za jasne wyjaśnienie. –