Permito que los usuarios de mi aplicación web proporcionen una URL para sus propias imágenes. También pueden proporcionar CSS que puede contener direcciones URL a las imágenes.
Si estas URL son HTTP
, entonces el navegador no muestra el candado en la barra de URL.
¿Cuál es la mejor práctica para evitar esto?
- ¿Reescribiendo
HTTP
direcciones comoHTTPS
, incluidas las URL dentro de CSS? (Quizás, después de verificar que el recurso existe en la direcciónHTTPS
). - ¿Rechazar cualquier URL que no sea
HTTPS
? - ¿Copiando la imagen o CSS (con sus imágenes de referencia) en mi sistema? (Esto significaría, para bien o para mal, que el contenido no cambiaría como lo hace el original).