您的位置:一分快三全天精准计划 > 一分快三免费计划网站-web前端 > 让浏览器不再显示 https 页面中的 http 请求警报

让浏览器不再显示 https 页面中的 http 请求警报

2019-09-09 16:52

让浏览器不再显得 https 页面中的 http 须要警报

2015/08/26 · 基础工夫 · HTTPS, 浏览器

原稿出处: 李靖(@Barret李靖)   

HTTPS 是 HTTP over Secure Socket Layer,以安全为对象的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 诉求,一旦出现就是唤醒或报错:

Mixed Content: The page at ‘‘ was loaded over HTTPS, but requested an insecure image ‘’. This content should also be served over HTTPS.

HTTPS退换之后,我们能够在数不胜数页面中来看如下警报:

图片 1

洋洋营业对 https 未有工夫概念,在填充的多寡中难免出现 http 的能源,体系庞大,出现疏忽和尾巴也是不可幸免的。

CSP设置upgrade-insecure-requests

万幸 W3C 工作组思考到了大家升级 HTTPS 的狼狈,在 2014 年 十二月份就出了三个 Upgrade Insecure Requests 的草案,他的功力正是让浏览器自动晋级央求。

在我们服务器的响应头中插足:

header("Content-Security-Policy: upgrade-insecure-requests");

1
header("Content-Security-Policy: upgrade-insecure-requests");

作者们的页面是 https 的,而那一个页面中富含了大气的 http 能源(图片、iframe等),页面一旦发觉存在上述响应头,会在加载 http 能源时自动替换来 https 央求。能够查阅 google 提供的八个 demo:

图片 2

只是令人不解的是,那一个能源发出了两遍呼吁,测度是浏览器完成的 bug:

图片 3

本来,即便大家不方便人民群众在服务器/Nginx 上操作,也得以在页面中投入 meta 头:

XHTML

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

1
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

此时此刻支撑这么些设置的还只有 chrome 43.0,可是自身信任,CSP 将变为今后 web 前端安全努力关切和应用的剧情。而 upgrade-insecure-requests 草案也会快速步向宝马7系FC 情势。

从 W3C 职业组给出的 example,能够观察,那些装置不会对海外的 a 链接做拍卖,所以能够放心使用。

1 赞 收藏 评论

图片 4

本文由一分快三全天精准计划发布于一分快三免费计划网站-web前端,转载请注明出处:让浏览器不再显示 https 页面中的 http 请求警报

关键词:

  • 上一篇:没有了
  • 下一篇:没有了