在 HTTPS 页面上显示一张 HTTP 图片，哪里不安全？

2018-08-15 19:23:55 +08:00

nikoo

默认的 referrer policy 不会向 http 发送 referrer，即 https 的 URL 是安全的
查看 request 信息，针对一张 http 图片仅发送过去了访问客户端的 User-Agent

什么情况会导致不安全？（为什么不能是小绿锁？）

4939 次点击

所在节点

5 条回复

caomu

2018-08-15 19:32:58 +08:00

非 ssl 的静态资源存在 mitm 和篡改风险吧。

Fishdrowned

2018-08-15 19:35:47 +08:00

因为 https 是为了保证传输安全，读取 http 的图片可能被篡改，而且 cookie 也可能在传输时被窃取。
以上为猜测，非权威解答

ysc3839

2018-08-15 19:39:28 +08:00

传输的内容会被第三方看到，还可能被第三方篡改，这就是不安全。

nikoo

2018-08-15 19:40:14 +08:00

@caomu @Fishdrowned 非常感谢！

就是说 http 图片可能因为被劫持，所以显示在 https 页面上的可能并非是预期的图片？

另外 https 页面建立的 cookie （没有加 Secure 参数）会直接发送至同域名 http 吗？

beastk

2018-08-15 20:33:40 +08:00

@nikoo #4 要看同源策略

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.