您的位置:时时彩走势图 > 时时彩走势图web前端 > 让浏览器不再显示 https 页面中的 http 请求警报

让浏览器不再显示 https 页面中的 http 请求警报

2019-09-25 14:14

让浏览器不再显得 https 页面中的 http 恳求警报

2015/08/26 · 基础技术 · HTTPS, 浏览器

初稿出处: 李靖(@Barret李靖)   

HTTPS 是 HTTP over Secure Socket Layer,以安全为对象的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 乞求,一旦出现正是一得之见或报错:

Mixed Content: The page at ‘‘ was loaded over HTTPS, but requested an insecure image ‘’. This content should also be served over HTTPS.

HTTPS改动之后,大家能够在诸多页面中看到如下警报:

图片 1

广大运行对 https 未有本事概念,在填充的多寡中难免出现 http 的资源,种类强大,出现马虎和尾巴也是不可咸鱼翻身的。

CSP设置upgrade-insecure-requests

辛亏 W3C 职业组思虑到了大家升级 HTTPS 的比比较多不便,在 2016 年 三月份就出了贰个 Upgrade Insecure Requests 的草案,他的功用正是让浏览器自动进级乞求。

在大家服务器的响应头中加入:

header("Content-Security-Policy: upgrade-insecure-requests");

1
header("Content-Security-Policy: upgrade-insecure-requests");

我们的页面是 https 的,而以此页面中蕴涵了巨量的 http 财富(图片、iframe等),页面一旦发觉存在上述响应头,会在加载 http 能源时自动替换来 https 诉求。能够查阅 google 提供的一个 demo:

图片 2

不过令人不解的是,那么些财富发出了一回呼吁,测度是浏览器实现的 bug:

图片 3

自然,如果大家不便于在服务器/Nginx 上操作,也能够在页面中投入 meta 头:

XHTML

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

1
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

日前扶助这么些装置的还唯有 chrome 43.0,可是本身深信,CSP 将改成现在 web 前端安全努力关注和采纳的源委。而 upgrade-insecure-requests 草案也会非常的慢步入凯雷德FC 格局。

从 W3C 职业组给出的 example,能够观看,那一个装置不会对别国的 a 链接做拍卖,所以能够放心使用。

1 赞 收藏 评论

图片 4

本文由时时彩走势图发布于时时彩走势图web前端,转载请注明出处:让浏览器不再显示 https 页面中的 http 请求警报

关键词:

  • 上一篇:没有了
  • 下一篇:没有了