在浏览器里启用混合内容

原创 2016年05月30日 22:45:22

原文同步至 http://waylau.com/mixed-content-blocking-enabled-in-browser/

本文介绍了在浏览器里什么是混合内容,为什么要禁用混合内容,以及在各种浏览器里面如何启用混合内容。

什么是混合内容

HTTP 是一种从网页服务器将信息传递到您的浏览器的系统。HTTP 并不是安全的,所以当您访问一个通过 HTTP 提供的页面时,您的连接正面临窃听和中间人攻击的风险。大多数网站都使用 HTTP 提供服务,因为它们不涉及敏感信息的传输,因而无需采取加密措施。

当您访问一个完全通过 HTTPS 提供的页面时(例如银行服务),您将看到地址栏中有绿色挂锁图标(详见站点标识按钮)。这表示您的连接经过身份验证和加密,从而防止窃听和中间人攻击。

但是,如果您访问的 HTTPS 页面中含有 HTTP 内容,即使页面主体内容以 HTTPS 提供,HTTP 的部分仍然可被攻击者读取和篡改。当某个 HTTPS 页面含有 HTTP 内容时,我们称它为“混合内容(Mixed Content)”。这种页面仅被部分加密,尽管有些人认为这样是安全的,但事实并非如此。

为啥要禁用混合内容

上面其实已经讲到了。由于混合内容中 HTTP 的部分会对安全造成威胁,所以各大浏览器厂商都会禁用混合内容。

比如,你有一个 HTTPS 的应用,恰巧应用里面调用了一个第三方的 HTTP 接口,那么,默认情况下,对这个 HTTP 接口的请求,是会被浏览器拒绝的,告警如下(Chrome 浏览器):

Mixed Content: The page at 'https://59.255.134.5/gov/' was loaded over HTTPS, but requested an insecure script 'http://59.255.134.3:28080/js/maps.js'. This request has been blocked; the content must be served over HTTPS.

如何在浏览器里面启用混合内容

上面的例子,如果第三方接口没有提供 HTTPS 服务,但你又想调用这个接口,那么你可以设置你的浏览器,来启用混合内容。

Google Chrome

方法1:

右上角盾牌,点击“加载不安全的脚本”。

缺点:每次重启浏览器,都需要重新点击设置,比较繁琐。

方法2:

Chrome 桌面快捷方式上右击,“属性”,在“目标”路径的后面添加
--allow-running-insecure-content 参数。打开浏览器后就会自动启动混合模式。

效果:

IE

方法1:

浏览器对有风险的脚本进行了拦截,点击“显示所有内容”。

缺点:每次重启浏览器,都需要重新点击,比较繁琐。

方法2:

对 IE 进行设置,启动显示混合内容。

Firefox

方法1:

在地址栏单击盾牌图标 ,并在下拉菜单中单击“选项”按钮,在弹出的菜单中选择“暂时解除保护”。

缺点:每次重启浏览器,都需要重新点击设置,比较繁琐。

方法2:

在浏览器输入 about:config 切换到设置页面。
设置 security.mixed_content.block_active_content 选项值为 false

参考引用

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

https和http显示混合内容

转自:http://www.cnblogs.com/luminji/archive/2012/07/24/2606248.html   如果网站原本是http传输,在部署成https传输后,一不小...

修改注册表来修改IE的设置---资料汇总

1. 添加删除受信任站点: /HKEY_CURRENT_USER/SoftWare/Microsoft/Windows/CurrentVersion/Internet  Settings/ZoneM...

Mixed Content Blocking导致Firefox23 无法显示iframe

前些天遇到了一个神奇的问题:有个网页包含了iframe,之前一直运行良好,但是Firefox升级到最新的23.0版本后,发现iframe内的内容变成空的了!查看元素iframe里只有。其他浏览器都没有...

mixed content/display——https载入http资源的绕过

一、问题 本文讲述的内容是针对以下问题:在https网站中,载入http网站的资源(网页、图片等),会被浏览器阻拦的问题。比如以下代码: 如果是在https的页面中插入以下代码,将被浏览器拦截...

修改注册表添加IE信任站点及启用Activex控件方法

主要是注册表中的两项: HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Internet Settings\Zonemap  记...

解决混合内容造成页面错误提示的处理办法

(1)出现“安全证书上的名称无效,或者与站点名称不匹配”的错误提示,是因为使用 IP地址访问该站点。因为证书是与域名绑定的,在访问站点时,需要验证当前站点域名是否和证书上声明的域名一致。如要解决该问题...
  • hikelee
  • hikelee
  • 2013年12月18日 14:02
  • 447

Nginx部署部分https与部分http

一般而言,大规模的网站都有很多台Web服务器和应用服务器组成,用户的请求可能是经由Varnish,HAProxy,Nginx 之后才到应用服务器,中间有好几层。而中小规模的典型部署常见的是 Nginx...
  • na_tion
  • na_tion
  • 2013年12月15日 16:13
  • 26352

Mixed Content Page

https的链接加载的内容中有很多不安全的http请求

HTTP与HTTPS混合的浏览器表现

 一、 在https的页面中,包含http的资源文件(js,css, image),各浏览器的表现 1. 在ie8,9 下,如果https页面,包含http的资源文件(js,css, image),会...

XML简介之Schema之 XSD 仅含文本复合元素 VS XSD 带有混合内容的复合类型

11.XSD 仅含文本复合元素 ========================================  仅含文本的复合元素可包含文本和属性。 仅含文本的复合元素 此类型...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:在浏览器里启用混合内容
举报原因:
原因补充:

(最多只允许输入30个字)