我想使用快取代理強制頁面上的所有連線都通過 SSL,並讓代理處理不安全的連線。
此代理程式可透過網路存取。
現在我想知道是什麼阻止了任何人使用該代理?
基本上我需要做的是在瀏覽器中顯示電子郵件內容,並且嵌入的資產應該通過 SSL 代理,例如https://myproxy.com?url=http%3A%2F%2Funsecure.com%2Fa.png.
答案1
如果我理解正確的話,您正在網站上顯示第 3 方電子郵件內容(即您的系統下載電子郵件並將其顯示在網頁上)。在執行此操作時,您應該非常小心 XSS 風險,並正確轉義並呈現您收到的內容。這說起來容易做起來難,特別是如果您希望電子郵件保持其整體外觀和感覺。
例如,GMail 預設隱藏所有第三方內容,如果您選擇載入它,瀏覽器實際上會在「安全連線」指示上顯示警告標誌。如果您選擇這樣做,使用單獨的網域將是一個好主意。對於客戶來說,「這對谷歌來說已經足夠好了」可能是一個足夠體面的理由。
如果您以簡單的方式實現代理,則沒有什麼可以阻止任何人使用您的代理來獲取任何類型的內容。您可以為執行代理程式的伺服器新增某種 HTTP 驗證(基於 cookie、HTTP 驗證或 TLS 用戶端憑證)。在常規設定中,基於 cookie 可能是唯一有意義的選擇。更複雜的替代方案包括解析電子郵件、提取熱連結資源和重寫 URL,以便您的代理僅接收特製的代理請求,而不接收用戶放入 URL 欄中的任何內容。
如果您解釋您正在建立的系統的一般用途和功能,我也許能夠提出更好的解決方案。