accepter un lien externe non HTTPS sur mon site HTTPS ? - Version imprimable +- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org) +-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38) +--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51) +--- Sujet : accepter un lien externe non HTTPS sur mon site HTTPS ? (/showthread.php?tid=7930) |
accepter un lien externe non HTTPS sur mon site HTTPS ? - Argorate - 09-12-2018 comment je fais si je veux que l'utilisateur puisse inclure des images dans un commentaire par exemple et que le lien n'est pas HTTPS, pour l'instant le navigateur bloque la requete... exemple d'image : http://wiki.gentilsvirus.org/images/0/01/SchemaPropositionConstitutionPlanC.jpg RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Sephi-Chan - 09-12-2018 Il te faut une page, sur ton site, qui va aller chercher l'image dont tu as le lien, et la retourner. Elle n'agit que comme un proxy. Dès que tu vois un lien en HTTP, tu le réécris en https://argorate.fr/images?url=http://wiki.gentilsvirus.org/images.jpg .Attention ça va te faire prendre beaucoup de requêtes en plus : je t'invite donc à être assez agressif sur les headers de cache. Idéalement, cette page devra être dépouillée des fonctionnalités du site (pas de connexion à la BDD, pas de lecture du cookie de session, etc.). Je pense même qu'il est plus pertinent de faire carrément un site dédié au proxy d'images HTTP vers HTTPS, avec une simple application Sinatra (si tu veux rester sur la stack Ruby, tu peux même le monter comme engine dans ton application Rails). Comme ça il ne fait strictement que ça. Sinon il existe un service externe qui le fait (https://images.weserv.nl/) et tu as juste à réécrire les URLs en https://images.weserv.nl/?url=... .
RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Argorate - 09-12-2018 et concrètement ton application elle fait comment pour récupérer et renvoyer l'image ? un redirect ne marchera pas j'imagine RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Xenos - 09-12-2018 Non, tu ne fais SURTOUT pas un proxy sur le site HTTPS, car tu vas promulguer la ressource externe en ressource interne. En d'autres mots, si un truc est injecté dans l'image, alors il sera exécuté comme provenant de ton site, avec les mêmes droits que les ressources de ton site. Si un lien non-https est dans une page https, alors normalement, le navigateur de le bloque pas. En revanche, le navigateur va afficher une alerte au niveau de la barre d'adresse, indiquant qu'on mixe effectivement des contenus. Comme suggéré, à la limite, si tu veux bricoler un proxy, tu le fais sur un sous-domaine (une origine) différente de celle de la page, dédiée, et avec une CSP adaptée (= la Content Security Policy de la page qui inclus la ressource externe doit interdire tout ce qui se trouve sur le domaine-proxy dédié, sauf les images). Mais en aucun cas, ce ne doit être la même origine que la page dans laquelle l'image est incluse. A mon avis, tu as plutôt foiré un truc dans ton navigateur à toi (ou dans ta CSP) qui pousse le browser à interdire le chargement de l'image. RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Argorate - 10-12-2018 le problème est bien qu'il bloque... regarde mon premier post de ce topic, j'ai mis une image, mais elle ne s'affiche pas... du coup je ne sais pas cmt faire. EDIT : cela ne bloque pas avec Chromium, mais FF oui... RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Xenos - 10-12-2018 Elle s'affiche pourtant bel et bien (et je n'ai pourtant pas l'habitude de régler mon navigateur de manière conciliante!) J'en déduis donc qu'un autre élément interfère: soit un plugin/configuration de ton propre navigateur, soit un header serveur mal choisi RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Argorate - 10-12-2018 J'ai fais "réparer firefox" et ça remarche... voilà qui me va très bien ! RE: accepter un lien externe non HTTPS sur mon site HTTPS ? - Xenos - 10-12-2018 Alors impec! https://support.mozilla.org/fr/kb/blocage-du-contenu-mixte-avec-firefox?redirectlocale=en-US&as=u&redirectslug=how-does-content-isnt-secure-affect-my-safety&utm_source=inproduct#w_pas-de-contenu-mixtea-sakr ...Par défaut, Firefox ne bloque pas le contenu mixte passif, vous verrez simplement un avertissement prévenant que la page n’est pas totalement sûre T'as dû le bloquer à un moment, si tu retrouves où précisément, cela m'intéresserait. RE: accepter un lien externe non HTTPS sur mon site HTTPS ? - Argorate - 10-12-2018 j'en ai vraiment aucun souvenir... c'est chelou ^^ merci RE: accepter un lien externe non HTTPS sur mon site HTTPS ? - Argorate - 19-12-2018 ah bin c'est revenu... donc ça doit être un addon ? C'est Ghostery le pb... au moins j'ai pu l'identifier |