web-dev-qa-db-fra.com

HTTPS sur toutes les pages où l'utilisateur est connecté

Je sais que cela est considéré comme la meilleure pratique pour empêcher le détournement de cookies. J'aimerais adopter cette approche, mais j'ai rencontré un problème sur notre forum où les utilisateurs publient des images qui ne sont pas publiées avec une URL via HTTPS ou bien l'URL elle-même ne prend pas en charge HTTPS. Cela jette beaucoup d'avertissements du navigateur laide.

Je vois que j'ai deux options:

  • Désactiver HTTPS pour le forum
  • Forcer tous les contenus postés par l'utilisateur à commencer par // dans l'URL afin de sélectionner le bon protocole, s'il ne prend pas en charge le protocole HTTPS.

Est-ce que j'ai d'autres options? Comment les autres sites traitent-ils cela?

3
Tom Gullen

L'option 3 consiste à utiliser un proxy pour les images. Cependant, cela a des problèmes juridiques.

L'option 4 consiste à remplacer http: // ... images par un espace réservé pour les ouvrir dans un nouvel onglet. Vous pouvez éventuellement réécrire le code serveur sur https: // et demander à vérifier s'il est pris en charge.

4
Peter Taylor