Supponiamo che il mio sito Web sia su HTTPS e devo caricare una risorsa CSS o Object da HTTP, come posso fare?Consenti il caricamento di risorse HTTP su HTTPS
Si prega di notare che sono in grado di aggiungere Content-Security-Policy alle intestazioni di risposta sui siti Web HTTPS ma non so esattamente come posso farlo. Qualcuno può darmi una soluzione?
Non c'è soluzione. I browser moderni negheranno l'utilizzo di risorse non-https nelle pagine servite da https perché in questo modo indebolisci efficacemente il modello di sicurezza di https. CSP non aiuterà perché non risolve il problema. La tua unica scelta è quella di servire il sito tramite http o di includere proxy da siti esterni non https dal tuo sito. Tuttavia, si noti che quest'ultima opzione potrebbe influire anche sul modello di sicurezza, poiché ora queste risorse esterne vengono considerate come originate dallo stesso dominio del proprio contenuto e pertanto potrebbero utilizzare in modo improprio la stessa politica di origine.
Come proprietario del sito Web, dovrei essere in grado di decidere se caricare i contenuti HTTP è possibile o meno. Sei sicuro che non ci sia una soluzione? –
Se non hai bisogno della sicurezza offerta da HTTPS, sei libero di fornire invece il contenuto completo con HTTP. Ma l'idea è che qualsiasi contenuto incluso in una pagina HTTPS abbia la stessa protezione della pagina stessa, perché altrimenti potrebbe compromettere la sicurezza della pagina. –
Grazie per la tua chiara spiegazione. –