it-swarm-ja.com

安全なサイトでhttpsなしで静的コンテンツを提供する方法は?

サイトから静的コンテンツを提供したいのですが、サイトはhttpsのみです。私の静的httpサーバーは、httpコンテンツ(https以外)のみを提供しますが、多くのIEユーザーがログインできないことについて不平を言っています。

何をする必要がありますか?静的コンテンツhttpサーバーにhttpsを追加する必要がありますか?

8
licorna

Internet Explorerと私は、httpsプロトコルを使用しているサイトのアセットがhttpから提供される場合、他のブラウザがユーザーに警告すると思います。最初の最善の解決策は、静的資産サーバーが安全なコンテンツを提供し、サイトで一貫したプロトコルを使用できるようにすることです。 2番目の最善の解決策は、プロキシである安全なサイトにページを作成することです。基本的には、外部ページまたはアセットを呼び出し、そのプロキシを介してそれを返す動的ページを作成する必要があります。そのページの記述方法は、セキュアサーバーで使用可能な動的プログラミング言語によって異なります。

基本的に、IEには、プロトコルの混合に関する正当なセキュリティの問題があります。 知っているhttpsサーバーは信頼できますが、httpサーバーは信頼できません。

13
artlung

あなたの質問は本当に意味をなさないので、あなたはあなたの思考を明確にする必要があると思います。

静的およびセキュアは、相互に排他的ではなく、相互に関連することもありません。安全な静的コンテンツと安全でない非静的コンテンツを使用できます。セキュアとは、暗号化されていることを意味します(SSL、つまりhttps)。静的とは、クライアントのリクエストごとに生成されないことを意味します。これらは、根本的に異なる2つの概念です。

用語を混同していない場合は、なぜ安全なサーバーが静的コンテンツを提供できないのかを尋ねます。私の推測ではそれはそうだから、静的コンテンツを安全なサーバーに置くだけで、ブラウザはhttp/httpsの混合コンテンツについて文句を言わないだろう。セキュアサーバーに静的コンテンツの提供を妨げる技術的な制限がある場合(CSSファイルを提供できない場合など)、はい、使用している他のサーバーにSSLを追加することを検討する必要があります。

0
S. W.