09-12-2018, 11:51 PM
Non, tu ne fais SURTOUT pas un proxy sur le site HTTPS, car tu vas promulguer la ressource externe en ressource interne. En d'autres mots, si un truc est injecté dans l'image, alors il sera exécuté comme provenant de ton site, avec les mêmes droits que les ressources de ton site.
Si un lien non-https est dans une page https, alors normalement, le navigateur de le bloque pas. En revanche, le navigateur va afficher une alerte au niveau de la barre d'adresse, indiquant qu'on mixe effectivement des contenus.
Comme suggéré, à la limite, si tu veux bricoler un proxy, tu le fais sur un sous-domaine (une origine) différente de celle de la page, dédiée, et avec une CSP adaptée (= la Content Security Policy de la page qui inclus la ressource externe doit interdire tout ce qui se trouve sur le domaine-proxy dédié, sauf les images). Mais en aucun cas, ce ne doit être la même origine que la page dans laquelle l'image est incluse.
A mon avis, tu as plutôt foiré un truc dans ton navigateur à toi (ou dans ta CSP) qui pousse le browser à interdire le chargement de l'image.
Si un lien non-https est dans une page https, alors normalement, le navigateur de le bloque pas. En revanche, le navigateur va afficher une alerte au niveau de la barre d'adresse, indiquant qu'on mixe effectivement des contenus.
Comme suggéré, à la limite, si tu veux bricoler un proxy, tu le fais sur un sous-domaine (une origine) différente de celle de la page, dédiée, et avec une CSP adaptée (= la Content Security Policy de la page qui inclus la ressource externe doit interdire tout ce qui se trouve sur le domaine-proxy dédié, sauf les images). Mais en aucun cas, ce ne doit être la même origine que la page dans laquelle l'image est incluse.
A mon avis, tu as plutôt foiré un truc dans ton navigateur à toi (ou dans ta CSP) qui pousse le browser à interdire le chargement de l'image.