V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ivmm
V2EX  ›  问与答

国内那个视频网站支持 SSL?

  •  
  •   ivmm · 2015-06-28 19:48:42 +08:00 · 3152 次点击
    这是一个创建于 3437 天前的主题,其中的信息可能已经有所发展或是发生改变。

    要引用视频,支持SSL的

    17 条回复    2015-10-21 20:14:09 +08:00
    phoenixlzx
        1
    phoenixlzx  
       2015-06-28 19:58:02 +08:00 via Android
    我也想知道
    我的网站开SSL,想开国内视频嵌入
    最后的解决方案是放弃,直接丢链接吧
    alect
        2
    alect  
       2015-06-28 20:36:29 +08:00
    国内没有,直接引用吧。
    webjin
        3
    webjin  
       2015-06-28 20:42:05 +08:00
    视频网站没必要SSL吧
    ivmm
        4
    ivmm  
    OP
       2015-06-28 21:59:09 +08:00
    @webjin 全站SSL,视频不是SSL怎么看?
    ivmm
        5
    ivmm  
    OP
       2015-06-28 21:59:14 +08:00
    @alect 全站SSL,视频不是SSL怎么看?
    lhbc
        6
    lhbc  
       2015-06-28 22:04:34 +08:00
    mp4 文件放支持 https 的 CDN
    然后 html5 播放
    这样行不行?不了解相关技术,瞎猜的
    Showfom
        7
    Showfom  
       2015-06-28 22:30:18 +08:00 via iPhone
    SSL 消耗的资源和带宽比 http 要高,视频网站省点成本都是不会上的。
    wy315700
        8
    wy315700  
       2015-06-28 22:31:46 +08:00
    @Showfom

    都是为了装X,听说全站SSL比较牛逼,大家一窝蜂就上了。
    然后,其实,都是没什么流量的。
    laiyingdong
        10
    laiyingdong  
       2015-06-28 22:34:06 +08:00 via Android
    SSL估计是没有 直接引用的话浏览器就是有黄色标识了。YouTube倒是没问题 唉 国内啊
    百度有https 却不全 不像 Google 强制全https
    xsn
        11
    xsn  
       2015-06-28 22:34:13 +08:00
    a站都是外链的视频
    zhuang
        12
    zhuang  
       2015-06-28 23:21:08 +08:00
    如果仅仅为了消除浏览器的警告提示,这种做法完全没有意义,骗自己骗用户。

    第三方内容应完全视作不安全,无论是否通过 http over tls 加载。




    对于浏览器来说,同一个页面引入的所有动态指令具有相同的执行权限,同时对 DOM 具有完全的访问权限。

    举例说明:

    你的网站 https://yoursite.com/index.html 引入了某第三方视频网站内容,如https://videosite.com/video.js (或者是 flash 等等任何形式),那么 video.js 的代码可以访问到 DOM 中所有元素,获取 document.cookie,甚至冒充用户执行 yoursite.com 上的 ajax 指令。




    这里有个真实的案例,某托管有 js 代码的网站被攻陷,代码被替换成为恶意指令,引用了原始代码的网站都成了受害者。
    https://blog.sucuri.net/2014/11/the-dangers-of-hosted-scripts-hacked-jquery-timers.html

    同样的问题也会发生在众多托管 js 的 cdn 服务身上,比如你使用了 google 托管的 js 库,尽管它是 https 引入的,但仅仅只能保证代码从 google cdn 到用户不会被篡改,但你不能保证 google 不做恶,或者 google 因为某漏洞被攻陷。




    为了避免这种盲目信任引入的安全风险,w3c 新增了名为 Subresource Integrity 的草案,让主动嵌入第三方代码的网站可以验证嵌入代码的完整性和可信性。不过目前仅仅是草案,浏览器支持几乎没有。
    Cavolo
        13
    Cavolo  
       2015-06-28 23:43:48 +08:00 via iPhone
    @phoenixlzx 网站包含非ssl的素材顶多chrome报黄色吧,其实没什么关系吧
    Showfom
        14
    Showfom  
       2015-06-29 02:44:37 +08:00
    @wy315700 但是会影响速度,而且视频网站没有设计什么安全性的东西也没啥必要。
    gamexg
        15
    gamexg  
       2015-06-29 09:06:56 +08:00
    @Cavolo 不是吧?我这里 chrome 直接拦截了非 ssl 的内容。视频直接空白了...
    所有非 ssl js 都不显示。
    ivmm
        16
    ivmm  
    OP
       2015-06-29 09:09:20 +08:00
    @Cavolo 直接无法显示好么
    alansalexer
        17
    alansalexer  
       2015-10-21 20:14:09 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4612 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 48ms · UTC 10:10 · PVG 18:10 · LAX 02:10 · JFK 05:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.