我有一个使用SSL的移动站点。我们需要播放一些音频文件,遗憾的是,这些文件无法使用ssl播放如果我通过http为他们提供服务,他们会玩得很好问题是,如果我这样做,我是否会破坏ssl提供的安全性?
感谢
如果您有资源,最好的方法是让服务器通过SSL接收用户的请求,然后动态创建一个常规的HTTP URL,客户端可以从该URL重定向以接收内容。除了通过此链接提供音频外,绝对不提供任何其他内容,也不交换任何cookie/令牌/密钥等。此外,如果您使用令牌跟踪会话,请确保在cookie上设置安全标志,以便用户的浏览器不会传输令牌的内容,除非通过SSL/HTTPS连接,否则令牌在重定向后将通过HTTP以明文发送。实现这一点的技术因平台而异,否则我将提供更具体的说明。然而,它很常见,所以应该很容易找到。
这也可能有助于您的性能,因为通过避免SSL的加密,您将节省服务器端的大量处理。只要音频是不敏感的,这就是方法。祝你好运
I认为只要它不能注入脚本,基本上是可以的。不过,攻击者仍然可以替换视频,也许是为了利用视频解码器上的漏洞,或者进行更普通的网络钓鱼。这也意味着你不能保护视频的机密性。
先问一个问题。你是否尝试在默认浏览器中播放这些音频,或者你有播放这些音频的应用程序?(我的猜测是,你是一个使用浏览器,因为你不能更改客户端)。
如果你能就你的问题多提供一点背景知识,那会很有用。这样,人们可能会想出各种有趣的解决办法。
此外,你还想检查浏览器将如何处理它。例如,一些浏览器会抱怨这样的事情(不安全的内容)。对于一些用户来说,这可能是一个关闭。
我认为ssl会挺过来的(你并没有破坏它):)然而,这些音频将是透明的,对所有类型的攻击都是开放的(ssl可以防止)。所以,最关键的问题是你是否在乎。
如果你播放一些简单的音频效果,你可能不会核心。如果你播放一些专有的有声读物,这对你来说可能是一件大事。
更新1
还有一个想法(很抱歉,我无法提供一个经过充分测试的解决方案,因为我在这里超出了我的深度)。
您是否考虑过使用脚本(通过安全通道)下载此音频,将其存储在本地存储中(我相信HTML5允许),或者将其放入内存并从本地存储中清除。
这样你就可以解决你的问题。