要引用视频,支持SSL的
1
phoenixlzx 2015-06-28 19:58:02 +08:00 via Android
我也想知道
我的网站开SSL,想开国内视频嵌入 最后的解决方案是放弃,直接丢链接吧 |
2
alect 2015-06-28 20:36:29 +08:00
国内没有,直接引用吧。
|
3
webjin 2015-06-28 20:42:05 +08:00
视频网站没必要SSL吧
|
6
lhbc 2015-06-28 22:04:34 +08:00
mp4 文件放支持 https 的 CDN
然后 html5 播放 这样行不行?不了解相关技术,瞎猜的 |
7
Showfom 2015-06-28 22:30:18 +08:00 via iPhone
SSL 消耗的资源和带宽比 http 要高,视频网站省点成本都是不会上的。
|
9
xsn 2015-06-28 22:33:48 +08:00
|
10
laiyingdong 2015-06-28 22:34:06 +08:00 via Android
SSL估计是没有 直接引用的话浏览器就是有黄色标识了。YouTube倒是没问题 唉 国内啊
百度有https 却不全 不像 Google 强制全https |
11
xsn 2015-06-28 22:34:13 +08:00
a站都是外链的视频
|
12
zhuang 2015-06-28 23:21:08 +08:00
如果仅仅为了消除浏览器的警告提示,这种做法完全没有意义,骗自己骗用户。
第三方内容应完全视作不安全,无论是否通过 http over tls 加载。 对于浏览器来说,同一个页面引入的所有动态指令具有相同的执行权限,同时对 DOM 具有完全的访问权限。 举例说明: 你的网站 https://yoursite.com/index.html 引入了某第三方视频网站内容,如https://videosite.com/video.js (或者是 flash 等等任何形式),那么 video.js 的代码可以访问到 DOM 中所有元素,获取 document.cookie,甚至冒充用户执行 yoursite.com 上的 ajax 指令。 这里有个真实的案例,某托管有 js 代码的网站被攻陷,代码被替换成为恶意指令,引用了原始代码的网站都成了受害者。 https://blog.sucuri.net/2014/11/the-dangers-of-hosted-scripts-hacked-jquery-timers.html 同样的问题也会发生在众多托管 js 的 cdn 服务身上,比如你使用了 google 托管的 js 库,尽管它是 https 引入的,但仅仅只能保证代码从 google cdn 到用户不会被篡改,但你不能保证 google 不做恶,或者 google 因为某漏洞被攻陷。 为了避免这种盲目信任引入的安全风险,w3c 新增了名为 Subresource Integrity 的草案,让主动嵌入第三方代码的网站可以验证嵌入代码的完整性和可信性。不过目前仅仅是草案,浏览器支持几乎没有。 |
13
Cavolo 2015-06-28 23:43:48 +08:00 via iPhone
@phoenixlzx 网站包含非ssl的素材顶多chrome报黄色吧,其实没什么关系吧
|
15
gamexg 2015-06-29 09:06:56 +08:00
@Cavolo 不是吧?我这里 chrome 直接拦截了非 ssl 的内容。视频直接空白了...
所有非 ssl js 都不显示。 |
17
alansalexer 2015-10-21 20:14:09 +08:00
|