在HTTPS的网站下,如果要访问HTTP资源,浏览器会弹出窗口询问用户是否允许加载不安全内容,这会使用户感到疑惑,并且会阻止用户继续使用你的网站,为了避免出现这种情况,所有网页下请求的资源都必须是HTTPS资源
如今网站都是使用很多可重用的组件搭建的,很多组件即会在HTTP页面使用,也会在HTTPS页面使用,如何使URL在HTTP页面和HTTPS页面都是正确的?
我们可以使用URL相对路径
<img src='/images/myphoto.jpg' />
<img src='myphoto.jpg' />
如果该HTML代码放在http://myexample.com/myblog/index.html上
那么第一幅图片的实际完整地址就是http://myexample.com/images/myphoto.jpg
而第二幅图片的实际地址是http://myexample.com/myblog/myphoto.jpg
因为URL省略了协议以及域名,因此会使用资源所属页面的协议和域名发送请求,在HTTP页面,会使用HTTP发送请求,在HTTPS页面会使用HTTPS发送请求,由于没有混合安全与不安全的内容,这种写法在HTTP页面和HTTPS页面均不会警告
如果我们要请求的资源放在其它站点,例如CDN,这时我们看似必须使用完整路径了
<img src='http://mycdn.com/myblog/myphoto.jpg' />
URL显示指定使用HTTP协议,在HTTPS页面访问该资源当然会显示不安全提示
如果CDN已经同时支持HTTP和HTTPS,其实我们依然可以使用URL相对路径,只是这种写法并不常见:
<img src='//mycdn.com/myblog/myphoto.jpg' />
由于URL省略了协议,因此会使用资源所属页面的协议发送请求,在HTTP页面,会使用HTTP发送请求,在HTTPS页面会使用HTTPS发送请求
相对路径的规则此时依然适用,即:省略的部分从所属页面获取,相对路径接管剩余部分
RFC1808文档是专门针对相对URI的,其中提到,除了URI中的Scheme部分,其他部分均可以做适当的省略,也就是说,这样的写法是不符合规范,RFC1808文档是95年的时候定稿的,后来的RFC3986文档对URI做出了更为详细的规范,废弃了RFC1808对相对URI引用的建议规范(4.2 Relative Reference一节)
下面进行一下测试:
我们以HTTPS的方式访问页面,如果响应结果中包含以HTTP的图片资源,浏览器会提示该网站不安全
开发者工具也会有warn提示
<a href="javascript:void(0);" class="c-user-img" style="background-image:url(http://xxx/passport/20170907/c7/65/passport_1425799989_150478622214318_130_130.jpg)"></a>
如果我们返回以//开头的图片地址,使用HTTP访问该网页
<div class="m-comment-share_userImg" style="background-image:url(//xxx/passport/20170907/c7/65/passport_1425799989_150478622214318_130_130.jpg);" glue-type="userIcon" data-uid="1425799989" data-bubble-rseat="click_udata"></div>
将以HTTP方式请求图片资源
使用HTTPS访问该网页
<div class="m-comment-share_userImg" style="background-image:url(//xxx/passport/20170907/c7/65/passport_1425799989_150478622214318_130_130.jpg);" glue-type="userIcon" data-uid="1425799989" data-bubble-rseat="click_udata"></div>
将以HTTPS方式请求图片资源