Защищенный режим Facebook (https), iFrame-вкладки и предупреждающие сообщения

Опубликовал 12 июня 2011 в рубрике Технарям

Tweet

Защищенный режим Facebook (https), iFrame вкладки и предупреждающие сообщенияВ марте 2011 года Facebook стал поддерживать вкладки на приложении iframe. Так как вкладки, созданные на  iframe, не хранятся на  сервере Facebook, с одной стороны позволяют разработчикам использовать стандартные CSS, HTML, Javascript и др. языки веб-программирования как и на любом сайте, но с другой стороны возникают противоречия при обычном и защищенном доступе к вкладкам. Особенно стоит обращать внимание на контент, ссылки которого ведут на внешние источники (изображения, подключаемые стили css, скрипты .js и другие).

В январе 2011 года Fаcebook объявил о новой настройке аккаунта «безопасный просмотр (https)»: https://www.facebook.com/blog.php?post=486790652130

Starting today we’ll provide you with the ability to experience Facebook entirely over HTTPS. You should consider enabling this option if you frequently use Facebook from public Internet access points found at coffee shops, airports, libraries or schools. The option will exist as part of our advanced security features, which you can find in the «Account Security» section of the Account Settings page.

Здесь говорится, что этой настройкой надо пользоваться прежде всего, когда вы подключаетесь к Fаcebook в общественных точках доступа к Интернету. Аккаунт – Настроить – Безопасность.

Создателям приложений следует очень серьезно отнестись к этому вопросу. 15-го апреля 2011 года, Facebook написал в своем блоге разработчиков: «Сегодня 9,6 млн людей пользуются Facebook в режиме https, и эта тенденция растет.»

HTTPS для контента iframe вкладок создает потенциальные трудности. Но их можно избежать.

В приложениях должны быть указаны Secure Tab URL

Создателям приложений необходимо указывать действующую ссылку в поле «Secure Tab URL» при настройке приложения в «Facebook Integration»:

Защищенный режим Facebook (https), iFrame вкладки и предупреждающие сообщения

Если Secure Tab URL  не указана, то вкладка даже  не появится в панели навигации, когда у пользователя  включен «безопасный режим (https)»!

При этом, домен, указанный в Secure Tab URL должен иметь SSL Сертификат.

Смешанный защищенный/незащищенный контент в безопасном режиме https.

Если вкладка имеет действующий secure URL, но ссылки на CSS, JavaScript, изображения или встроенные файлы используют http протокол вместо https, и у пользователя Facebook включена опция «безопасный просмотр (https)» в настройках Аккаунта, то для браузеров Internet Explorer, Google Chrome, Firefox и Opera это большая проблема. Вы увидите вот такое предупреждающее сообщение (это пример для IE8):

Защищенный режим Facebook (https), iFrame вкладки и предупреждающие сообщения

или в правом нижнем углу браузера (пример для Firefox):

Защищенный режим Facebook (https), iFrame вкладки и предупреждающие сообщения

Избегайте обращения к любым файлам через http.

Помните, что это НЕ ОТНОСИТСЯ к гипперссылкам на другой сайт и т.п.

Файлы, которые должны быть защищены https:

  • Изображения —  <img src=’  ‘  /> тег;
  • Внешние CSS (.css) и JavaScript (.js) файлы;
  • Встроенные файлы, такие как Flash и видео. YouTube поддерживает SSL, и вы можете легко поменять URL на «https» в его коде встраивания на сайт, все будет работать нормально. (Vimeo еще не поддерживает доступ к видео через SSL.)

<iframe title=’YouTube video player’ width=’480′ height=’390′ src=’https://www.youtube.com/embed/A7F2X3rSSCU’ frameborder=’0′ allowfullscreen></iframe>

  • URL в DOCTYPE или <html> теге:

<!DOCTYPE html PUBLIC ‘-//W3C//DTD XHTML 1.0 Strict//EN’ ‘https://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd’> <html xmlns=’https://www.w3.org/1999/xhtml’ xml:lang=’ru’ lang=’ru’>

  • Обращение к JavaScript SDK при использовании Facebook Social Plugins:

<script src=’https://connect.facebook.net/en_US/all.js#appId=127182060688835&xfbml=1′></script>

С ссылками URL, где указывается относительный путь, изначально все в порядке

Так как в них не указывается протокол ни http, ни https. Поэтому используйте такие ссылки при возможности.

Относительные ссылки, которые начинаются с  «/» указывают корневую папку:

<link rel=’stylesheet’ type=’text/css’ href=’/directory-name/stylesheet.css’ />

Относительные ссылки, где  «./» или просто имя файла – это значит та же директория , «../» означает на одну директорию выше:

<link rel=’stylesheet’ type=’text/css’ href=’../my-css-files/stylesheet.css’ />

Для того, чтобы полностью перевести вкладки на защищенно соединение, надо установить на вашем хостинге SSL сертификат. На данный момент, самый простой и бесплатный вариант (на 3 месяца) как это сделать, я нашел на этом сервисе http://freessl.su/, также есть варианты с бесплатным SSL на сайте http://www.startssl.com и самый дешевый вариант из платных – это http://www.cheapssls.com/geotrust-ssl-certificates/rapidssl.html .

Поделиться в социальных сетях:

Защищенный режим Facebook (https), iFrame вкладки и предупреждающие сообщения

Похожие записи:

Tags: , , , ,

Комментарии Facebook:

Leave a Reply