V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nikoo
V2EX  ›  问与答

在 HTTPS 页面上显示一张 HTTP 图片,哪里不安全?

  •  
  •   nikoo · 2018-08-15 19:23:55 +08:00 · 5019 次点击
    这是一个创建于 2320 天前的主题,其中的信息可能已经有所发展或是发生改变。
    默认的 referrer policy 不会向 http 发送 referrer,即 https 的 URL 是安全的
    查看 request 信息,针对一张 http 图片仅发送过去了访问客户端的 User-Agent

    什么情况会导致不安全?(为什么不能是小绿锁?)
    5 条回复    2018-08-15 20:33:40 +08:00
    caomu
        1
    caomu  
       2018-08-15 19:32:58 +08:00 via Android   ❤️ 1
    非 ssl 的静态资源存在 mitm 和篡改风险吧。
    Fishdrowned
        2
    Fishdrowned  
       2018-08-15 19:35:47 +08:00   ❤️ 1
    因为 https 是为了保证传输安全,读取 http 的图片可能被篡改,而且 cookie 也可能在传输时被窃取。
    以上为猜测,非权威解答
    ysc3839
        3
    ysc3839  
       2018-08-15 19:39:28 +08:00 via Android
    传输的内容会被第三方看到,还可能被第三方篡改,这就是不安全。
    nikoo
        4
    nikoo  
    OP
       2018-08-15 19:40:14 +08:00
    @caomu @Fishdrowned 非常感谢!

    就是说 http 图片可能因为被劫持,所以显示在 https 页面上的可能并非是预期的图片?

    另外 https 页面建立的 cookie (没有加 Secure 参数)会直接发送至同域名 http 吗?
    beastk
        5
    beastk  
       2018-08-15 20:33:40 +08:00 via iPhone
    @nikoo #4 要看同源策略
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2692 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 12:11 · PVG 20:11 · LAX 04:11 · JFK 07:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.