菜单

金沙国际让浏览器不再显得 https 页面中的 http 央浼警报

2019年9月26日 - 金沙前端

让浏览器不再展现 https 页面中的 http 乞求警报

2015/08/26 · 基础本领 ·
HTTPS,
浏览器

原来的书文出处:
金沙国际,李靖(@Barret李靖)   

HTTPS 是 HTTP over Secure Socket Layer,以安全为对象的 HTTP 通道,所以在
HTTPS 承载的页面上不容许出现 http 央求,一旦现身正是提醒或报错:

Mixed Content: The page at ‘‘ was loaded over
HTTPS, but requested an insecure image ‘’.
This content should also be served over HTTPS.

HTTPS改换之后,大家能够在大多页面中观望如下警报:

金沙国际 1

有的是营业对 https 未有本事概念,在填充的数量中难免出现 http
的财富,种类变得强大,出现疏忽和尾巴也是不可防止的。

CSP设置upgrade-insecure-requests

幸而 W3C 专业组思虑到了小编们进级 HTTPS 的困难,在 2016 年 4月份就出了八个 Upgrade Insecure Requests 的草案,他的功能正是让浏览器自动进级央浼。

在咱们服务器的响应头中参加:

header(“Content-Security-Policy: upgrade-insecure-requests”);

1
header("Content-Security-Policy: upgrade-insecure-requests");

大家的页面是 https 的,而这一个页面中含有了大量的 http
能源(图片、iframe等),页面一旦发觉存在上述响应头,会在加载 http
能源时自动替换到 https 诉求。能够查阅 google
提供的贰个 demo:

金沙国际 2

唯独令人不解的是,这一个财富发出了五回呼吁,预计是浏览器完成的 bug:

金沙国际 3

本来,若是大家不方便人民群众在服务器/Nginx
上操作,也得以在页面中投入 meta 头:

XHTML

<meta http-equiv=”Content-Security-Policy”
content=”upgrade-insecure-requests” />

1
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

当下支撑那个设置的还唯有 chrome 43.0,可是自身信任,CSP 将改为现在 web
前端安全努力关心和行使的开始和结果。而 upgrade-insecure-requests 草案也会神速进入RAV4FC 情势。

从 W3C
专业组给出的 example,能够看看,那些装置不会对海外的
a 链接做管理,所以能够放心使用。

1 赞 收藏
评论

金沙国际 4

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图