报错信息
Mixed Content: The page at ‘http://XXX’ was loaded over HTTPS, but requested an insecure script ‘http://XXX’
. This request has been blocked; the content must be served over HTTPS.
报错原因
HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错。
当使用者以HTTPS(en-US)浏览网站时,他们与服务器之间的联机就会以TLS(en-US)加密,以防受到窃听或中间人攻击。一个含有HTTP明文内容的HTTPS页面称为混合内容(mixed content)。这种页面只有部份加密,没有加密的内容,易于遭到窃听和中间人攻击。这会令网页不安全。
解决方法:CSP设置upgrade-insecure-requests
一旦将下述头部设置在计划从HTTP迁移到HTTPS的example.com域名上, 非跳转(non-navigational)的不安全资源请求会自动升级到HTTPS(包括第当前域名以及第三方请求)。
// header
Content-Security-Policy: upgrade-insecure-requests;
// meta tag
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
HTTP Content-Security-Policy (CSP) upgrade-insecure-requests指令指示客户端将该站点的所有不安全URL(通过HTTP提供的URL)视为已被替换为安全URL(通过HTTPS提供的URL)。该指令适用于需要重写大量不安全的旧版URL的网站。
upgrade-insecure-requests指令在 block-all-mixed-content 之前被执行,如果其被设置,后者实际上是空操作。可以设置其中一个,但不能同时设置。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
