我可以“信任”非 SSL 网站并将其纳入 SSL 网站吗?

我可以“信任”非 SSL 网站并将其纳入 SSL 网站吗?

我可以在主流 Windows 浏览器(IE、Firefox、Chrome、Safari)中创建豁免,以针对在同一页面上混合使用 https 和 http 时收到的不安全内容警告吗?

我们有一个需要运行 https 的网站……它允许这里的学生在线支付账单、报名参加课程、查看成绩、住宿、经济援助等,并允许教师查看相应的学生信息(受 FERPA 保护)。网站内容本身几乎永远不会通过普通的未加密 http 看到。

该网站的一个特点是它也是一个门户网站。学生可以聊天、在留言板上发帖(出售、回家等),以及通过 iframe 设置“小工具”。该网站嵌入了一些默认小工具,例如打印使用计数器、facebook(鼓励使用门户网站)、图书馆卡片目录查询等,学生可以设置自己的小工具——其中一些根本不支持 https。我们确实知道学生确实经常使用这个网站,它会作为我们计算机实验室的主页加载。

不幸的是,这会导致有关混合安全和不安全内容的恶意警告。我知道这些警告是什么、为什么会有这些警告以及它们为什么重要(XSS 漏洞可能会让小工具中的恶意 javascript 将学生信息上传到远程服务器)。也就是说,我还控制这些网站的部署,因此对于我自己管理的计算机,我可以知道这些内容是可以的。

这让我想到了我的问题。对于我们学校的电脑,至少我想禁用 IE、Firefox、Safari 和 Chrome 中的警告,只针对特定的不安全内容,以及我们包含这些内容的特定页面. 我肯定想要全面禁用这些阻止和警告。我只是在谈论有问题的特定内容,其中一些内容基于供应商软件,我无法直接设置为使用 https。这可能吗?

答案1

对于我们学校的电脑,至少我想禁用 IE、Firefox、Safari 和 Chrome 中的警告,只针对特定的不安全内容,以及我们包含这些内容的特定页面。 这可能吗?

据我所知,在 Firefox 或 Chrome 中无法做到这一点。

允许 Internet Explorer 中某些网站的不安全内容,但你不能将该例外限制在您包含它的特定页面内。

就是这样:

  1. 打开互联网选项AltTO)并切换到安全标签。

  2. 选择可信任的网站

  3. 点击自定义级别...

  4. 各种各样的, 搜索显示混合内容并选择使能够

  5. 点击好的两次,然后站点

  6. 取消选中该区域内所有站点的**要求服务器验证(https:)。

  7. 将提供不安全内容的网站添加到该区域。

    例如,https://xkcd.com需要来自的 CSS 文件http://imgs.xkcd.com,因此您将其添加http://imgs.xkcd.com到受信任的站点区域。

  8. 点击关闭, 然后好的或者申请

话虽如此,我认为你解决这个问题的方法不对。主流浏览器对混合内容越来越挑剔,而且这种趋势不太可能改变。即使你可以禁用大学电脑的警告,也无法解决其他电脑的问题。虽然有些用户可能会完全禁用这些警告(红色和交叉https:对我来说已经足够了),但其他所有用户都将面临糟糕的浏览体验。

真正解决这个问题的唯一方法是改变网站的设计:

HTTP 可能方法

将整个网站切换为 HTTP,并为真正需要的内容保留 HTTPS。

例如,在付账时确实没有必要聊天。账单部分无需任何额外的小工具就可以做得很好。

其他敏感信息可以显示在内联框架中,或使用 AJAX 进行拉/推。当然,后一种选择仍会向禁用 JavaScript 的用户显示令人讨厌的警告,但我想大多数小工具无论如何都需要它,因此它们可以在后备版本中被删除。

尽可能使用 HTTPS 方法

继续对整个网站使用 HTTPS,并逐案处理不安全的内容。

您提到有些在内联框架中运行。如果内联框架的主 URL 使用 HTTP,则不会生成混合内容警告,因为内联框架中的脚本不会影响父框架。

如果还有一些内容既不能限制在内联框架中也不能通过 HTTPS 检索,那么唯一的选择就是通过您的服务器进行路由,即设置一个脚本,在请求时下载某些不安全的内容并通过 HTTPS 将其转发给用户。

框架方法

如果以上选项都不可行,您可以将整个内容放在内联框架中,或者使用AJAX 导航

这种方法的最大缺陷可以通过用 JavaScript () 更改地址栏显示的 URL 来修正window.history.pushState('Object', 'Title', URL);

虽然这还不够完美,但至少可以让网站可以浏览。Chrome 在每个标签页中只显示一次混合内容警告。Firefox 和 Internet Explorer 会显示它每次您点击一个链接。

答案2

您可以在另一个(不安全的)窗口中弹出聊天吗?

否则,你可能必须通过策略添加例外 - 对于 IE,此 Reg 文件

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]  
@=""  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com\www]  
"http"=dword:00000002 

将添加www.superuser.com到受信任的位置

相关内容