accepter un lien externe non HTTPS sur mon site HTTPS ?
#1
comment je fais si je veux que l'utilisateur puisse inclure des images dans un commentaire par exemple et que le lien n'est pas HTTPS, pour l'instant le navigateur bloque la requete...

exemple d'image : http://wiki.gentilsvirus.org/images/0/01...nPlanC.jpg

[Image: SchemaPropositionConstitutionPlanC.jpg]
Répondre
#2
Il te faut une page, sur ton site, qui va aller chercher l'image dont tu as le lien, et la retourner. Elle n'agit que comme un proxy.

Dès que tu vois un lien en HTTP, tu le réécris en https://argorate.fr/images?url=http://wi...images.jpg.

Attention ça va te faire prendre beaucoup de requêtes en plus : je t'invite donc à être assez agressif sur les headers de cache. Idéalement, cette page devra être dépouillée des fonctionnalités du site (pas de connexion à la BDD, pas de lecture du cookie de session, etc.).

Je pense même qu'il est plus pertinent de faire carrément un site dédié au proxy d'images HTTP vers HTTPS, avec une simple application Sinatra (si tu veux rester sur la stack Ruby, tu peux même le monter comme engine dans ton application Rails). Comme ça il ne fait strictement que ça. Sinon il existe un service externe qui le fait (https://images.weserv.nl/) et tu as juste à réécrire les URLs en https://images.weserv.nl/?url=....
Répondre
#3
et concrètement ton application elle fait comment pour récupérer et renvoyer l'image ? un redirect ne marchera pas j'imagine
Répondre
#4
Non, tu ne fais SURTOUT pas un proxy sur le site HTTPS, car tu vas promulguer la ressource externe en ressource interne. En d'autres mots, si un truc est injecté dans l'image, alors il sera exécuté comme provenant de ton site, avec les mêmes droits que les ressources de ton site.

Si un lien non-https est dans une page https, alors normalement, le navigateur de le bloque pas. En revanche, le navigateur va afficher une alerte au niveau de la barre d'adresse, indiquant qu'on mixe effectivement des contenus.

Comme suggéré, à la limite, si tu veux bricoler un proxy, tu le fais sur un sous-domaine (une origine) différente de celle de la page, dédiée, et avec une CSP adaptée (= la Content Security Policy de la page qui inclus la ressource externe doit interdire tout ce qui se trouve sur le domaine-proxy dédié, sauf les images). Mais en aucun cas, ce ne doit être la même origine que la page dans laquelle l'image est incluse.

A mon avis, tu as plutôt foiré un truc dans ton navigateur à toi (ou dans ta CSP) qui pousse le browser à interdire le chargement de l'image.
Répondre
#5
le problème est bien qu'il bloque... regarde mon premier post de ce topic, j'ai mis une image, mais elle ne s'affiche pas...

du coup je ne sais pas cmt faire.


EDIT : cela ne bloque pas avec Chromium, mais FF oui...
Répondre
#6
Elle s'affiche pourtant bel et bien (et je n'ai pourtant pas l'habitude de régler mon navigateur de manière conciliante!)

J'en déduis donc qu'un autre élément interfère: soit un plugin/configuration de ton propre navigateur, soit un header serveur mal choisi


Pièces jointes
.png   Capture.PNG (Taille : 334,48 Ko / Téléchargements : 6)
Répondre
#7
J'ai fais "réparer firefox" et ça remarche... voilà qui me va très bien ! 16
Répondre
#8
Alors impec!


https://support.mozilla.org/fr/kb/blocag...ixtea-sakr

...Par défaut, Firefox ne bloque pas le contenu mixte passif, vous verrez simplement un avertissement prévenant que la page n’est pas totalement sûre

T'as dû le bloquer à un moment, si tu retrouves où précisément, cela m'intéresserait.
Répondre
#9
j'en ai vraiment aucun souvenir... c'est chelou 34

merci 16
Répondre
#10
ah bin c'est revenu... donc ça doit être un addon ? C'est Ghostery le pb... au moins j'ai pu l'identifier 2
Répondre


Sujets apparemment similaires...
Sujet Auteur Réponses Affichages Dernier message
  [SVG] Charger un SVG externe Maz 2 1 895 08-30-2011, 07:35 PM
Dernier message: Maz
  Accepter le règlement ?! nemesis_elite 16 5 224 10-26-2006, 12:22 PM
Dernier message: X-ZoD



Utilisateur(s) parcourant ce sujet : 1 visiteur(s)