让浏览器不再显示 https 页面中的 http 请求警报,所有静态资源强制转https

最新推荐文章于 2024-02-26 17:05:18 发布
最新推荐文章于 2024-02-26 17:05:18 发布
阅读量1w 收藏 6
点赞数 1
分类专栏: J2EE 文章标签: socket 浏览器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014723529/article/details/78789112
版权

HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错:

Mixed Content: The page at ‘https://www.tqcto.com/‘ was loaded over HTTPS, but requested an insecure image ‘http://g.alicdn.com/s.gif’. This content should also be served over HTTPS.

HTTPS改造之后,我们可以在很多页面中看到如下警报:

img

很多运营对 https 没有技术概念,在填入的数据中不免出现 http 的资源,体系庞大,出现疏忽和漏洞也是不可避免的。

Nginx设置upgrade-insecure-requests

好在 W3C 工作组考虑到了我们升级 HTTPS 的艰难,在 2015 年 4 月份就出了一个 Upgrade Insecure Requests 的草案,他的作用就是让浏览器自动升级请求。

在我们nginx服务器的响应头中加入:

add_header Content-Security-Policy upgrade-insecure-requests;

CSP设置upgrade-insecure-requests

header("Content-Security-Policy: upgrade-insecure-requests");

参考编程技术
我们的页面是 https 的,而这个页面中包含了大量的 http 资源(图片、iframe等),页面一旦发现存在上述响应头,会在加载 http 资源时自动替换成 https 请求。可以查看 google 提供的一个 demo

img

不过让人不解的是,这个资源发出了两次请求,猜测是浏览器实现的 bug:
img

当然,如果我们不方便在服务器/Nginx 上操作,也可以在页面中加入 meta 头:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

目前支持这个设置的还只有 chrome 43.0,不过我相信,CSP 将成为未来 web 前端安全大力关注和使用的内容。而 upgrade-insecure-requests 草案也会很快进入 RFC 模式。
参考编程技术

从 W3C 工作组给出的 example,可以看出,这个设置不会对外域的 a 链接做处理,所以可以放心使用。

技术交流学习或者有任何问题欢迎加群

编程技术交流群 : 154514123 爱上编程

Java技术交流群 : 6128790  Java

酷酷的糖先森
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
浏览器 自动把http改成https 解决方法
weixin_69856049的博客
02-06 99
【日常总结】如何禁止浏览器 http自动跳https-CSDN博客
通信与网络的无线多跳防空警报遥控系统设计
11-12
摘 要:针对目前无线大区制防空警报遥控系统存在的二次报警能力弱和心发射塔无线电信号覆盖范围有限等问题,提出一种基于超短波数传电台的无线多跳防空警报遥控系统,在该系统实现警报控制信号多跳传输。给出总体设计方案和关键设计技术,并设计了一种适合该系统的路由协议。基于网络仿真工具OPNET构建了该系统的仿真框架,对系统常用业务进行建模,分析系统警报发放时延和警报回示时延两个重要参数,仿真结果表明该系统性能达到设计要求,为解决现有系统存在的上述问题提供了一个有效的可选方案。   0 引 言   人民防空是国防的重要组成部分,也是现代城市建设的重要内容。防空警报遥控系统作为战时指挥的“神经”和
也只有搞颜色的P站真正关心网站性能
最新发布
code小生
02-26 349
2024 年,大家觉得一个网站 JS 文件的平均大小应该是多少?1MB、5MB、10MB,还是更加大呢?近年来,层出不穷的现代化前端技术让人眼花缭乱,让网站拥有了更多的交互和丰富的功能,再加上终端设备的配置越来越高,许多网站似乎不用再过分担心性能问题 —— 常常打开网站就要下载超过 10M 的 JS 文件。知名开源开发者 Nikita Prokopov 对常见网站的 JS 文件大小进行了统计(未压...
uio.rar_Loaded
09-24
Return a completely initialised control block.Ity_I1 values cannot be stored or loaded. So vex_inject_ir will load store such a value to a 4-byte container. It uses 32to1 and 1Uto32, respectively.
forex-signals-alerts:浏览器实时外汇信号通知从https检索到的声音警报
03-11
实时外汇信号警报 浏览器实时外汇通过使用Cheeriojs和Browserify作为主要依赖项的声音,发出从检索到的警报信号。
基于无线警报系统的LCD显示菜单设计
04-16
:为了在无线警报系统上实现数据输入、显示及存储等屏幕显示功能,提出了基于4*4 个键盘交互的LCD 显示多屏菜单设计方法。以ARM CortexTM-M0 内核的微处理器为主控芯片,结合点阵液晶模块HTM12864 进行C语言程序系统设计。对菜单数据项和功能函数进行独立设计,使菜单显示窗口化,并为每个窗口配置一个按键处理的回调函数来实现窗口切换。系统运行结果表明,该方法实现简单,占用内存少,操作界面简便,达到设计方法的目的。
HTTPS里面打开HTTP,不兼容问题
weixin_44165764的博客
06-02 1万+
HTTPS里面打开HTTP,不兼容问题
chrome浏览器无法下载http链接的资源
Monitor的博客
01-14 2万+
现象: 通过HTTPS页面无法下载http资源,并且Console打印如下信息. Mixed Content:The Site at 'https:...'was loaded over a secure connection,but the file at 'http:...' was redirected throug an insecure connection.This file should be served over HTTPS.This download has been block
This file should be served over HTTPS. This download has been blocked. computed高级处理
芳草萋萋鹦鹉洲哦
07-16 9727
问题:做导出数据功能,返回的链接为不安全http链接被浏览器拒了 (不聪明的)解决方法:手动将协议头用正则替换成https 相关代码: computed: { options () { return { tooltip: { trigger: 'axis', backgroundColor: 'rgba(242,203,97,0.8)', padding: [10, 15], text
was loaded over HTTPS, but requested an insecure错误解决
YHJ
06-12 6万+
当我们的浏览器出现类似“was loaded over HTTPS, but requested an insecure resource/frame”这种错误是,一般都是因为我们的网站是HTTPS的,而对方的链接是HTTP协议的,因此在Ajax或者javascript请求时,就会报如下这种错误: 具体错误类似如下: Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource '
mixed content the site was loaded over a secure connection but the file at was loaded over an insecu
qubes的专栏
01-06 6045
问题: 在https地址试图通过a标签跳http下载地址时,浏览器报错。将跳地址http改为https
WebBrowser打开https安全链接,弹出"安全警报"(Security Alert)处理
11-15
使用WebBrowser控件时,在打开https安全链接时,可能会弹出"安全警报"(Security Alert)窗口让用户确认.用户只有点击"是(&Y)"才能正常打开网页.这是多余操作.解决方法:定时监视是否有窗口弹出,如果有,获取窗口句柄,再...
vue静态文件下载
weixin_42505178的博客
08-31 918
】 问题:使用vue-cli3下载文件时,静态文件下载不成功问题。 解决:public文件夹下的文件并不会被Webpack处理:它们会直接被复制到最终的打包目录(文件名需指定)下。必须使用绝对路径引用这些文件,简单说就是用来存放万年不变的文件。 在vue2.x版本类似static/ 文件夹。 <el-button @click="download" type="warning">下载</el-button> download() { let a = document.c
页面警告 Mixed Content: The page at '~' was loaded over HTTPS, but requested an insecure resource '~'.
骐骥筋力成,志在万里外
03-20 5413
页面发布到线上时,出现HTTP警告。 原因是因为在https引入了http的js文件,会被直接block掉的。 解决办法: <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> ...
The file at ‘blob:http://...‘ was loaded over an
Giraffe0615的博客
10-08 1万+
responseType: "arraybuffer",加过了,浏览器依旧会阻止下载。get请求下载excel文件,浏览器会拒绝下载,虽然流获取到了,但是下载不下来。后来后端改成post,下载正常了。
错误:Mixed Content: The page at ‘https://XXX’ was loaded over HTTPS, but requested an insecure........
热门推荐
qq_27114677的博客
09-05 9万+
在使用tomcat+nginx时。Nginx使用https,tomcat使用http。使用iframe之类框架,在重定向时会出现以上问题导致页面加载不出来。这是因为Tomcat不能知道Nginx发来的是http还是https。 让tomcat知道nginx发来的是http还是https。默认情况下,nginx得到的https的访问会以http的方式发给负载的tomcat。 一、如果让t
Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource 'xxx'.
php菜鸟技术天地
10-05 6万+
HTTPS页面里动态的引入HTTP资源,比如引入一个js文件,会被直接block掉的.在HTTPS页面里通过AJAX的方式请求HTTP资源,也会被直接block掉的。 Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource 'xxx'. This request ha...
nginx add_header Content-Security-Policy “upgrade-insecure-requests;connect-src *“;
小猪佩奇工作室
02-25 7337
背景是这样 后端写了个静态网页,页面里面有对资源http的调用,导致js在请求时,报了个错 Mixed Content: The page at 'https://huangkaikang.com/' was loaded over HTTPS, but requested an insecure frame 'http://huangkaikang.com/resume/'. This request has been blocked; the content must be served over
selinux警报浏览器
03-16
Selinux警报浏览器是指Selinux安全模块检测到浏览器正在执行一些可能会危及系统安全的操作,从而发出的警报。这通常是由于浏览器正在尝试访问受保护的资源或执行未经授权的操作。为了保护系统安全,Selinux会阻止这些操作并发出警报,以便管理员可以采取必要的措施来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值