論壇設計的混合內容警告

Question

我目前正在設計一個本地主機上的社交網絡，也涉及到論壇方面。用戶可以在網站上做三件事情，這引起了我的一些擔憂。

1. 通過網站上任何頁面的標題登錄到他們的檔案。
2. 在牆上張貼包含外部網站鏈接的內容。
3. 在論壇中發佈各種不同的東西，包括外部網站鏈接和外部網站上的圖像。

因爲＃1我做了整個網站https。因此，無論用戶在網站上的哪個位置，他們都可以登錄，並且他們的整個會話都會被加密。這個功能工作的很好，但我很害怕Mixed Content Warnings。

現在我正在考慮製作完整的網站安全B/C，如果我這樣保持混合內容警告出現爲每個頁面有鏈接到外部網站，或從外部網站的圖像？不幸的是，我從來沒有看到這個警告B/C沒有我使用的瀏覽器似乎顯示給我。我搜索了一些顯示此警告的瀏覽器列表，但沒有我能找到的有限列表。所以這是令人尷尬的B/C我很擔心，並試圖避免我從來沒有見過的事情。但我想到了一個解決方案。

我目前的想法是關於如何解決圖像問題，當用戶發佈論壇並將其寫入我的磁盤並提供新的圖像鏈接時，從用戶處獲取圖像。我非常肯定，這正是谷歌圖像如何保持HTTPS，同時顯示來自http站點的數百萬圖像。我認爲他們把它們全部寫到他們自己的服務器上。例如：

https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcTj_52I-TSX79mQFJRLTDNGahtGbsh_BpYDp0H3hbzJDWK2qxPZ

所以我想我已經找到了解決形象問題，但怎麼樣的外部鏈接？因爲當用戶在他們的牆上發佈鏈接到https://stackoverflow.com/時，例如我閱讀帖子並用錨標記包圍它，所以在技術上對瀏覽器來說不是沒有安全內​​容？那會不會發出警告？

我該如何解決這個問題，而不是惹惱我的用戶？你有更好的解決方案來解決我的圖像問題嗎？謝謝大家閱讀我的困惑。

Answer 1

鏈接一般沒問題。只要將它們包含在頁面中，它們不會產生任何警告。它們可以在點擊時執行：當頁面從HTTPS導航到HTTP時，某些瀏覽器會顯示警告。但在這種情況下，默認值是「再也不顯示此警告」，因此幾乎每個人都會在瀏覽的第一天點擊它，並且再也不會看到它。

檢測用戶提供的圖像鏈接，在後期提取圖像，然後重新提供圖像鏈接將會起作用，但是需要付出很多努力（我認爲我沒有看到其他論壇正在這樣做）並且有一些安全警告 - 例如，您想要從單獨的域中提供圖像以避免XSS內容 - 嗅探問題（例如Google使用gstatic.com），並設置限制以避免導致拒絕服務的惡意圖像。

其餘的情況是iframe嵌入，一些用戶可能想要發佈例如YouTube視頻。在這裏，您可以將iframe源限制爲支持HTTPS的已知良好服務。