在 HTTPS 页面上显示一张 HTTP 图片,哪里不安全?

2018-08-15 19:23:55 +08:00
 nikoo
默认的 referrer policy 不会向 http 发送 referrer,即 https 的 URL 是安全的
查看 request 信息,针对一张 http 图片仅发送过去了访问客户端的 User-Agent

什么情况会导致不安全?(为什么不能是小绿锁?)
5003 次点击
所在节点    问与答
5 条回复
caomu
2018-08-15 19:32:58 +08:00
非 ssl 的静态资源存在 mitm 和篡改风险吧。
Fishdrowned
2018-08-15 19:35:47 +08:00
因为 https 是为了保证传输安全,读取 http 的图片可能被篡改,而且 cookie 也可能在传输时被窃取。
以上为猜测,非权威解答
ysc3839
2018-08-15 19:39:28 +08:00
传输的内容会被第三方看到,还可能被第三方篡改,这就是不安全。
nikoo
2018-08-15 19:40:14 +08:00
@caomu @Fishdrowned 非常感谢!

就是说 http 图片可能因为被劫持,所以显示在 https 页面上的可能并非是预期的图片?

另外 https 页面建立的 cookie (没有加 Secure 参数)会直接发送至同域名 http 吗?
beastk
2018-08-15 20:33:40 +08:00
@nikoo #4 要看同源策略

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/480157

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX