+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : accepter un lien externe non HTTPS sur mon site HTTPS ? (/showthread.php?tid=7930)
accepter un lien externe non HTTPS sur mon site HTTPS ? - Argorate - 09-12-2018
comment je fais si je veux que l'utilisateur puisse inclure des images dans un commentaire par exemple et que le lien n'est pas HTTPS, pour l'instant le navigateur bloque la requete...
exemple d'image : http://wiki.gentilsvirus.org/images/0/01/SchemaPropositionConstitutionPlanC.jpg
![[Image: SchemaPropositionConstitutionPlanC.jpg]](http://wiki.gentilsvirus.org/images/0/01/SchemaPropositionConstitutionPlanC.jpg)
RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Sephi-Chan - 09-12-2018
Il te faut une page, sur ton site, qui va aller chercher l'image dont tu as le lien, et la retourner. Elle n'agit que comme un proxy.
Dès que tu vois un lien en HTTP, tu le réécris en
https://argorate.fr/images?url=http://wiki.gentilsvirus.org/images.jpg.Attention ça va te faire prendre beaucoup de requêtes en plus : je t'invite donc à être assez agressif sur les headers de cache. Idéalement, cette page devra être dépouillée des fonctionnalités du site (pas de connexion à la BDD, pas de lecture du cookie de session, etc.).
Je pense même qu'il est plus pertinent de faire carrément un site dédié au proxy d'images HTTP vers HTTPS, avec une simple application Sinatra (si tu veux rester sur la stack Ruby, tu peux même le monter comme engine dans ton application Rails). Comme ça il ne fait strictement que ça. Sinon il existe un service externe qui le fait (https://images.weserv.nl/) et tu as juste à réécrire les URLs en
https://images.weserv.nl/?url=....
RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Argorate - 09-12-2018
et concrètement ton application elle fait comment pour récupérer et renvoyer l'image ? un redirect ne marchera pas j'imagine
RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Xenos - 09-12-2018
Non, tu ne fais SURTOUT pas un proxy sur le site HTTPS, car tu vas promulguer la ressource externe en ressource interne. En d'autres mots, si un truc est injecté dans l'image, alors il sera exécuté comme provenant de ton site, avec les mêmes droits que les ressources de ton site.
Si un lien non-https est dans une page https, alors normalement, le navigateur de le bloque pas. En revanche, le navigateur va afficher une alerte au niveau de la barre d'adresse, indiquant qu'on mixe effectivement des contenus.
Comme suggéré, à la limite, si tu veux bricoler un proxy, tu le fais sur un sous-domaine (une origine) différente de celle de la page, dédiée, et avec une CSP adaptée (= la Content Security Policy de la page qui inclus la ressource externe doit interdire tout ce qui se trouve sur le domaine-proxy dédié, sauf les images). Mais en aucun cas, ce ne doit être la même origine que la page dans laquelle l'image est incluse.
A mon avis, tu as plutôt foiré un truc dans ton navigateur à toi (ou dans ta CSP) qui pousse le browser à interdire le chargement de l'image.
RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Argorate - 10-12-2018
le problème est bien qu'il bloque... regarde mon premier post de ce topic, j'ai mis une image, mais elle ne s'affiche pas...
du coup je ne sais pas cmt faire.
EDIT : cela ne bloque pas avec Chromium, mais FF oui...
RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Xenos - 10-12-2018
Elle s'affiche pourtant bel et bien (et je n'ai pourtant pas l'habitude de régler mon navigateur de manière conciliante!)
J'en déduis donc qu'un autre élément interfère: soit un plugin/configuration de ton propre navigateur, soit un header serveur mal choisi
RE: accepté lien externe non HTTPS sur mon site HTTPS ? - Argorate - 10-12-2018
J'ai fais "réparer firefox" et ça remarche... voilà qui me va très bien !
RE: accepter un lien externe non HTTPS sur mon site HTTPS ? - Xenos - 10-12-2018
Alors impec!
https://support.mozilla.org/fr/kb/blocage-du-contenu-mixte-avec-firefox?redirectlocale=en-US&as=u&redirectslug=how-does-content-isnt-secure-affect-my-safety&utm_source=inproduct#w_pas-de-contenu-mixtea-sakr
...Par défaut, Firefox ne bloque pas le contenu mixte passif, vous verrez simplement un avertissement prévenant que la page n’est pas totalement sûre
T'as dû le bloquer à un moment, si tu retrouves où précisément, cela m'intéresserait.
RE: accepter un lien externe non HTTPS sur mon site HTTPS ? - Argorate - 10-12-2018
j'en ai vraiment aucun souvenir... c'est chelou ^^
merci
RE: accepter un lien externe non HTTPS sur mon site HTTPS ? - Argorate - 19-12-2018
ah bin c'est revenu... donc ça doit être un addon ? C'est Ghostery le pb... au moins j'ai pu l'identifier
