在浏览器里启用混合内容

原创 2016年05月30日 22:45:22

原文同步至 http://waylau.com/mixed-content-blocking-enabled-in-browser/

本文介绍了在浏览器里什么是混合内容,为什么要禁用混合内容,以及在各种浏览器里面如何启用混合内容。

什么是混合内容

HTTP 是一种从网页服务器将信息传递到您的浏览器的系统。HTTP 并不是安全的,所以当您访问一个通过 HTTP 提供的页面时,您的连接正面临窃听和中间人攻击的风险。大多数网站都使用 HTTP 提供服务,因为它们不涉及敏感信息的传输,因而无需采取加密措施。

当您访问一个完全通过 HTTPS 提供的页面时(例如银行服务),您将看到地址栏中有绿色挂锁图标(详见站点标识按钮)。这表示您的连接经过身份验证和加密,从而防止窃听和中间人攻击。

但是,如果您访问的 HTTPS 页面中含有 HTTP 内容,即使页面主体内容以 HTTPS 提供,HTTP 的部分仍然可被攻击者读取和篡改。当某个 HTTPS 页面含有 HTTP 内容时,我们称它为“混合内容(Mixed Content)”。这种页面仅被部分加密,尽管有些人认为这样是安全的,但事实并非如此。

为啥要禁用混合内容

上面其实已经讲到了。由于混合内容中 HTTP 的部分会对安全造成威胁,所以各大浏览器厂商都会禁用混合内容。

比如,你有一个 HTTPS 的应用,恰巧应用里面调用了一个第三方的 HTTP 接口,那么,默认情况下,对这个 HTTP 接口的请求,是会被浏览器拒绝的,告警如下(Chrome 浏览器):

Mixed Content: The page at 'https://59.255.134.5/gov/' was loaded over HTTPS, but requested an insecure script 'http://59.255.134.3:28080/js/maps.js'. This request has been blocked; the content must be served over HTTPS.

如何在浏览器里面启用混合内容

上面的例子,如果第三方接口没有提供 HTTPS 服务,但你又想调用这个接口,那么你可以设置你的浏览器,来启用混合内容。

Google Chrome

方法1:

右上角盾牌,点击“加载不安全的脚本”。

缺点:每次重启浏览器,都需要重新点击设置,比较繁琐。

方法2:

Chrome 桌面快捷方式上右击,“属性”,在“目标”路径的后面添加
--allow-running-insecure-content 参数。打开浏览器后就会自动启动混合模式。

效果:

IE

方法1:

浏览器对有风险的脚本进行了拦截,点击“显示所有内容”。

缺点:每次重启浏览器,都需要重新点击,比较繁琐。

方法2:

对 IE 进行设置,启动显示混合内容。

Firefox

方法1:

在地址栏单击盾牌图标 ,并在下拉菜单中单击“选项”按钮,在弹出的菜单中选择“暂时解除保护”。

缺点:每次重启浏览器,都需要重新点击设置,比较繁琐。

方法2:

在浏览器输入 about:config 切换到设置页面。
设置 security.mixed_content.block_active_content 选项值为 false

参考引用

版权声明:本文为博主原创文章,未经博主允许不得转载。

mixed content/display——https载入http资源的绕过

一、问题 本文讲述的内容是针对以下问题:在https网站中,载入http网站的资源(网页、图片等),会被浏览器阻拦的问题。比如以下代码: 如果是在https的页面中插入以下代码,将被浏览器拦截...
  • callmeevil
  • callmeevil
  • 2016年03月14日 16:34
  • 4356

作业调度框架 Quartz 学习笔记(三) -- Cron表达式

前面两篇说的是简单的触发器(SimpleTrigger) , SimpleTrigger 只能处理简单的事件出发,如果想灵活的进行任务的触发,就要请出 CronTrigger 这个重要人物了.  ...
  • lnara
  • lnara
  • 2013年03月05日 10:49
  • 17068

Mixed Content Blocking导致Firefox23 无法显示iframe

前些天遇到了一个神奇的问题:有个网页包含了iframe,之前一直运行良好,但是Firefox升级到最新的23.0版本后,发现iframe内的内容变成空的了!查看元素iframe里只有。其他浏览器都没有...
  • vking_wang
  • vking_wang
  • 2013年09月14日 21:53
  • 11533

https和http显示混合内容

转自:http://www.cnblogs.com/luminji/archive/2012/07/24/2606248.html   如果网站原本是http传输,在部署成https传输后,一不小...
  • IT_ORACLE
  • IT_ORACLE
  • 2013年05月22日 10:26
  • 1456

解决混合内容造成页面错误提示的处理办法

(1)出现“安全证书上的名称无效,或者与站点名称不匹配”的错误提示,是因为使用 IP地址访问该站点。因为证书是与域名绑定的,在访问站点时,需要验证当前站点域名是否和证书上声明的域名一致。如要解决该问题...
  • hikelee
  • hikelee
  • 2013年12月18日 14:02
  • 502

【Nginx实战】(一)——Nginx要点内容总结

解决问题 单台服务器已经无法承担大量用户的并发访问,必须采用多台服务器协同工作,以提高计算机系统的处理能力和计算强度(集群),满足当前业务量的需求。如何完成同样功能的多个网络设备之间实现合理的业务...
  • u010924834
  • u010924834
  • 2016年08月31日 21:14
  • 575

JRE(version: 1.6.0_26-b03)的JVM自动挂掉

启动。Eclipse 启动关闭。 当jvm crash掉之后,是在Eclipse下生成一个hs_err_pid**.log文件的,于是找到那个文件,下面是分析过程, 这个文件有几部分内容,首先是头部...
  • baimingyong007
  • baimingyong007
  • 2012年11月03日 12:05
  • 1834

Nginx部署部分https与部分http

一般而言,大规模的网站都有很多台Web服务器和应用服务器组成,用户的请求可能是经由Varnish,HAProxy,Nginx 之后才到应用服务器,中间有好几层。而中小规模的典型部署常见的是 Nginx...
  • na_tion
  • na_tion
  • 2013年12月15日 16:13
  • 29616

如何在谷歌浏览器中禁用混合内容安全警告

The search engine giant recommended you to enable it via an HTTP response header, "Content-Security-...
  • HJFQC
  • HJFQC
  • 2017年12月29日 15:24
  • 82

Chromium Content模块初始化

简单的说,Chromium Content模块就是Chromium内核核心功能实现,基于这些实现有提供了公开和稳定的接口,即ContentAPI;其他浏览器或类似功能开发者可以基于这些API进行二次开...
  • woweiwokuang0000
  • woweiwokuang0000
  • 2015年03月21日 16:09
  • 817
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:在浏览器里启用混合内容
举报原因:
原因补充:

(最多只允许输入30个字)