• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепропетровск
  • +38(062) 210-24-93  Донецк
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 007-72-35  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. https и защита от хотлинкинга

Форумы Хостинг https и защита от хотлинкинга
Alik
13.12.2014 22:20
хостинг: нет
домен: есть
https и защита от хотлинкинга
Обратил сегодня внимание на то, что если сайт открыт по https и картинки на его страницах вставлены по адресу с https, то все в порядке.
Если сайт работает на https, а картинки указаны в этом же домене, но по http, то срабатывает защита от хотлинкинга и в ответ отдается 403 Forbidden.
Пример в работе — мой сайт в домене com (хорошо заметно по файлу empty.gif).
Илья
15.12.2014 00:06
хостинг: есть
домен: есть
Программисты в ближайшее время исправят ошибку.
eugen
15.12.2014 11:14
хостинг: есть
домен: есть
Это особенность работы http/https в браузерах. Если страница, загруженная по https пытается загрузить дополнительный элемент (картинку/скрипт/css etc) по http - браузер не будет в таком случае передавать заголовок Referer при запросе этого контента. А в настройках Hotlink у Вашего сайта отключен флаг "Разрешить прямые запросы", что и блокирует такие запросы без Referer.

В целом, флаг "Разрешить прямые запросы" лучше не отключать без острой необходимости. И уж точно не следует на https странице подключать контент по http - открытие такой страницы уже не считается безопасным соединением и в зависимости от браузера может:
- блокироваться загрузка контента по http
- выдаваться alert вроде "соединение небезопасно"
- зеленый замок https будет становиться серым со знаком предупреждения
Alik
18.12.2014 18:54
хостинг: нет
домен: есть
Это особенность работы http/https в браузерах. © eugen

Теперь понятно, спасибо за разъяснение.

В целом, флаг "Разрешить прямые запросы" лучше не отключать без острой необходимости. © eugen

Я с ним еще одну интересную особенность нашел. Не ошибка, но напишу на случай, если кто-то с таким столкнется и не будет знать, в чем причина.
Есть скрипт, на который при помощи GET-запроса передается дважды urlencoded адрес картинки (такой себе кэширующий прокси для вывода на https-сайт картинок с хостов, где поддержки https нет). Через mod_rewrite обращения вида script.php?url=http://example.com/image.png преобразуются в /image/http://example.com/image.png. Так вот при отключенных прямых запросах в защите от хотлинкинга эти запросы перехватывает nginx и отдает HTTP 403. Решается включением прямых запросов.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города