See artikkel kirjeldab probleemi, mis tekib siis, kui teie veebisaidi külastajad taotlevad turvalist veebilehte, mis sisaldab ebaturvalisi elemente.
Probleem
Kui teie veebisaidi külastajad taotlevad lehte turvalise https://-ühenduse abil, võib veebibrauseri aadressiribal ilmuda katkine lukusümbol. Lisaks võivad nad brauseris saada hoiatussõnumi:
- Mozilla Firefox: „Selle veebisaidiga ühendus ei ole täielikult turvaline, kuna see sisaldab krüpteerimata elemente (nagu pildid).”
- Microsoft Internet Explorer: „Kas soovite vaadata ainult veebilehe sisu, mis edastati turvaliselt? Sellel veebilehel on sisu, mis ei edastata turvalise HTTPS-ühenduse kaudu, mis võiks ohustada kogu veebilehe turvalisust.”
- Google Chrome: „Teie ühendus aadressiga example.com on krüpteeritud 256-bitise krüpteerimisega. Siiski sisaldab see leht muid ressursse, mis pole turvalised. Neid ressursse saab teised vaadata edastamise ajal ja neid saab muuta ründaja poolt lehe välimuse muutmiseks.”
Põhjus
See probleem tekib sellepärast, et veebileht sisaldab ebaturvalisi elementide hüperlinke. Näiteks kaaluge veebilehte, mis sisaldab järgmist HTML-fragmenti:
<a href="http://www.example.com/images/picture.jpg">Vaata mu pilti</a>
Selles HTML-fragmendis viitab hüperlink ebaturvalisele http://-ressursile (.jpg fail). Kui kasutaja küsib seda lehte turvalise https://-ühenduse abil, siis leht ise on krüpteeritud, kuid hüperlingitud pildifail ei ole. Selle tulemusel sisaldab leht turvalist ja ebaturvalist sisu ning brauser kuvab kasutajale hoiatussõnumi.
See probleem võib tekkida mis tahes tüüpi hüperlinkidega ressursifailide puhul: JavaScripti raamatukogu, CSS-fail jne.
Lahendus
Kaaluge viise selle probleemi lahendamiseks:
1: Saada Content-Security-Policy vastuse peatükk otse veebiserverist
Selle probleemi lahendamiseks saate saata Content-Security-Policy HTTP-vastuse peatüki. See peatükk juhendab veebibrausereid ebaturvaliste päringute värskendamiseks HTTPS-iga.
Apache veebiserverite jaoks Linuxis lisage järgmised read faili .htaccess ( või failidesse), mida kasutate oma veebisaidil:
<IfModule mod_headers.c>
Header always set Content-Security-Policy "upgrade-insecure-requests;"
</IfModule>
2: Saada Content-Security-Policy direktiiv lehe allikafailidest
Alternatiivina võite kasutada teie saidi lehtede allikafailides järgmist meta silti:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
Lisateave
Kui vajate rohkem teavet upgrade-insecure-requests direktiivi kohta, külastage https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests.
Otsite usaldusväärset kaitset oma saidile? Hankige õige kaitsetaseme SSL-võimalustega meie SSL-i valikust.
