Ссылки на небезопасные страницы с защищенной страницы

Я знаю, что смешанный контент возникает, когда первоначальный HTML загружается через защищенное соединение HTTPS, а другие ресурсы (такие как изображения, видео, таблицы стилей, сценарии) загружаются через небезопасное соединение HTTP. Это называется смешанным содержимым, потому что для отображения одной и той же страницы загружается содержимое как HTTP, так и HTTPS, а первоначальный запрос был защищен по HTTPS.

Допустимо ли, чтобы защищенная страница содержала ссылки на внешние незащищенные страницы? Я говорю о ссылках, которые уводят пользователя с защищенной страницы на новую, но незащищенную страницу. Контент не извлекается на защищенной странице, так что все в порядке, верно?


http https mixed-content secure-context
person MikeJRamsey56    schedule 11.08.2017    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Да, согласно спецификации смешанного контента, которая определяет нормативные требования. для браузеров в отношении возможного смешанного контента разрешено, чтобы защищенная страница содержала ссылки на внешние страницы, которые не являются безопасными.

Конкретное соответствующее требование указано в шаге 4 первой части Раздел «Должен ли запрос на получение блокироваться как смешанный контент?» спецификации, который гласит:

Учитывая запрос запрос, пользовательский агент определяет, должен ли запрос запрос выполняться или нет, по следующему алгоритму:

  1. Возвращает разрешено, если выполняется одно или несколько из следующих условий:

    1. §5.1 Does settings prohibit mixed security contexts? returns "Does Not Restrict Mixed Security Contexts" when applied to request’s client.
    2. запрос url предварительно аутентифицирован .
    3. Пользовательский агент получил указание разрешить смешанный контент, как описано в §7.4 Пользовательские элементы управления).
    4. Назначение запроса — "document", а целевой контекст просмотра запроса не имеет родительского контекста просмотра.
      #P5#

Другими словами, когда пользователь переходит по ссылке на внешнюю страницу, это действие инициирует запрос навигации верхнего уровня, и на шаге 4 выше алгоритм возвращает разрешено для этого случая, что означает, что запрос разрешен. (В случаях, когда спецификация определяет смешанный контент, алгоритм вместо этого возвращает заблокировано, что означает, что запрос не разрешен.)

Или, выражаясь менее нормативными, но более информативными терминами, браузеры блокируют запросы к любому из встроенных подресурсов страницы, которые не обслуживаются из безопасного контекста, но не блокируют навигацию к другим документам, которые не защищены.

Соответствующая часть спецификации смешанного контента, которая неявно определяет поведение в этих терминах, находится во Introduction. :

… когда зашифрованный и аутентифицированный ресурс запрашивает подресурсы (скрипты, изображения и т. д.) по незащищенному каналу… Эти запросы ресурсов приводят к тому, что ресурс имеет смешанный статус

person sideshowbarker    schedule 11.08.2017