我知道,本质上,https 会加密发送和接收的数据,所以在我看来,除了发送到或来自 http 的数据之外,没有任何数据受到损害,但这个问题更多的是为了澄清,那么通过 http 提供内容是否会使其他数据不安全?例如,如果我使用 SSL 在服务器上通过 http 请求公共图像,除了这些图像的数据和用户查看这些数据的隐私之外,我还会损害其他任何东西吗?
答案1
Chrome 和 Firefox(我不提 Safari 和 IE,它们可能也一样)堵塞HTTPS 页面上的混合内容。
如果页面的 URL 具有https
方案,则该页面上的所有资产必须通过 HTTPS 加载。图像、字体、JavaScript、iframe - 如果不是 HTTPS,则不会显示。
这是为了保护用户。存在各种潜在的攻击。通过 HTTP 在 HTTPS 页面上加载的图像可能会被替换为不同的图像,如果您的邻居的脸出现在 FBI 的通缉名单上,这可能会带来问题。通过 HTTP 加载的 JavaScript 资产可能会被中间人攻击,将您的信用卡发送到攻击者的服务器。等等。