在使用https协议的网站里能否使用http

最新推荐文章于 2024-05-27 20:53:44 发布
最新推荐文章于 2024-05-27 20:53:44 发布
阅读量693 收藏 3
点赞数 6
文章标签: http https 网络协议 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghtty2/article/details/136858508
版权

在使用https协议的网站里能否使用http

回答:

在之前还可以通过img,video等Upgradeable Content来使用http,现在是不可以的,因为在https协议的网站里使用http去请求/相应/下载东西,这个会产生mixed content,这是不安全的,会被浏览器直接block。

背景介绍

想象一个场景,当我们在使用https协议的网站中,使用http的get请求去获取一些数据,我们的浏览器会阻止这个请求并且在控制台报错,如下:

Mixed Content: The page at '<URL>' was loaded over HTTPS,

but requested an insecure XMLHttpRequest 

endpoint '<URL>'. This request has been blocked; the content must be served over HTTPS.

那么这里会涉及到一个重要概念,什么是Mixed Content,为什么会被blocked?

那么接下来我们会围绕着这些概念,看看浏览器为了保证我们的安全到底做了什么,以及如何去避免这些报错。

Mixed Content 介绍

关于什么是mixed content,理解它关键在于这个mix,译为混合。
那么好了,也就是说产生mix的条件也就是我们在一个安全的网站上使用到了不安全的操作,比如说:

  • request
  • response
  • 又或者是通过不安全的download

等等这些都被成为是mixed content。

mixed content的安全性被分为了两大类:

  • 比较不安全,可以升级的:Upgradeable Content
  • 非常不安全,必须要升级的: Blockable Content

(PS:这里的升级比如说是http升级为https)

Upgradeable Content

这些资源类型是Upgradeable并不意味着它们是安全的,只是它们比其他资源类型的灾难性危险要小。

例如,图像和图标通常是应用程序界面中的中心 UI 元素。
如果攻击者颠倒了“删除电子邮件”和“回复”图标,将对用户产生真正的影响。

常见Upgradeable Content 类型如下:

<img> (src attribute)
<audio> (src attribute)
<video> (src attribute)
<object> subresources (when an <object> performs HTTP requests)

Blockable Content

定义:任何不可按照上面定义Upgradable mixed-content均被视为Blockable Content 。

常见Blockable Content类型如下:

<script> (src attribute)

<link> (href attribute) (this includes CSS stylesheets)

<iframe> (src attribute)

fetch() requests

XMLHttpRequest requests
All cases in CSS where a url() value is used (@font-face, cursor, background-image, and so forth).

<object> (data attribute)
  Navigator.sendBeacon (url attribute)

参考

w3c mixed-content

mdn mixed-content

ghtty2
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android 使用webview控件,注意在android9.0以后必须使用https才能访问网页
03-11
android 使用webview控件,注意在android9.0以后必须使用https才能访问网页
教育特色网站使用协议.doc
11-24
教育特色网站使用协议.doc
Nexus使用nginx代理实现支持HTTPS协议
09-29
主要介绍了Nexus使用nginx代理实现支持HTTPS协议,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
HTTP使用WEBLOGIC修改为HTTPS协议
05-03
自用,使用WEBLOGIC将普通http协议修改为HTTPS加密协议,为了过评审没办法,写出自用手册
PHP中Header使用HTTP协议及常用方法小结
10-25
主要介绍了PHP中Header使用HTTP协议及常用方法,包含了各种错误编码类型及其含义,需要的朋友可以参考下
前端自动将 HTTP 请求升级为 HTTPS 请求
u013992330的博客
05-23 324
前端http请求升级为https
网络编程 —— Http进度条
最新发布
lu2023_8_6的博客
05-27 447
从数据流读取到字节数组,并且从0开始读取,到字节数组被容纳完为止返回值是整型的,代表是读取的位置//当前读取的位置如果读取的位置不为0,证明还有数据,还得再次读取数据=0)// 读取数据//b把当前读取的数据写入本地// 记录总下载量//用已经下载量/总量 *100 转成百分制度。fs.Close();MessageBox.Show("下载完成");
网络编程 —— Http的post请求
lu2023_8_6的博客
05-21 417
code:"1", code代表注册是否成功 1注册成功 0 注册失败。message:"注册成功", message 注册成功与否消息提示。psw: "123456" 密码 必须传递 字符串。4 设置请求内容类型 请求内容类型主要是针对传递是普通数据和传递图片而设置的,参数2从哪个地方开始写入,从头开始写,写0,1 请求参数不会追加在URL上的,放在请求体发送。2 post请求参数长度没有限制。2 请求的方式:POST。2 设置post请求。
杂谈|RestFul和http的区别
weixin_45075231的博客
05-21 628
今天和我一组的小伙伴,在对接一个接口时,客户将DELETED请求设置了body参数,导致一个功能反复搞了半天,今天就来说下这两者的区别HTTP(HyperText Transfer Protocol)是一种用于从WWW(万维网)服务器传输超文本到本地浏览器的传输协议。它使得浏览器可以更加高效地工作,同时减少网络传输量。HTTP采用了请求/响应模型,客户端向服务器发送一个请求,服务器返回相应的响应。请求消息(Request Message):由请求行、请求头、空行和消息体组成。
HTTP vs HTTPS网络通信的双重视角
w651428055的博客
05-23 806
HTTPHTTPS各有其优缺点,但在安全性要求日益提高的今天,HTTPS已经成为网络通信的首选协议。对于那些涉及敏感信息传输的网站和应用,如在线银行、电子商务网站和政府服务平台,使用HTTPS是必须的。然而,随着网络安全威胁的不断演变,即使是静态网站也逐渐转向使用HTTPS,以提供更好的用户体验和数据保护。此外,HTTPS还提供了更好的身份验证机制,使得用户能够确认他们正在与正确的服务器进行通信,从而防止中间人攻击。在数字化的浪潮中,HTTPHTTPS作为网络通信的基石,各自扮演着不可或缺的角色。
若依解决使用https上传文件返回http路径问题
猿小白的博客
05-24 112
若依通过HTTPS请求进行文件上传时却返回HTTP的文件链接地址,主要原因是使用了获取链接地址。
HTTP 请求的完整过程
qq_39454432的博客
05-19 642
HTTP 请求的完整过程
02.爬虫---HTTP基本原理
hsadfdsahfdsgfds的博客
05-23 1273
URN是URI的一种形式,它通过一个全局唯一的名称来标识资源,这个名称在某个命名空间中是唯一的。URL是用来定位和访问互联网上资源的独特标识,它包括了资源的位置(如IP地址或域名)、端口号(可选)、路径(资源在服务器上的位置)、查询(用于传递参数)和片段(用于指定资源中的特定部分)。URI可以分为URL和URN两种。URL是URI的一种形式,它提供了定位资源的方法,而URN则是用特定命名空间的名字来标识资源,不包含位置信息。:更通用的资源标识符,可以是URL或URN,用于标识资源,但不提供定位信息。
HTTP 响应分割漏洞
大河之犬的博客
05-20 436
数据通过不受信任的来源(最常见的是 HTTP 请求)进入 Web 应用程序。该数据包含在发送给 Web 用户的 HTTP 响应标头中,且未经过恶意字符验证。从根本上来说,攻击很简单:攻击者将恶意数据传递给易受攻击的应用程序,并且该应用程序将数据包含在 HTTP 响应标头中要成功利用该漏洞,应用程序必须允许将包含 CR(回车符,也由%0d或\r给出)和 LF(换行符,也由%0a或\n给出)字符输入到标头。
推荐丨 IP地址如何申请SSL证书实现https
abcd759200的博客
05-22 472
为IP地址申请SSL证书可以让用户通过HTTPS协议安全地访问直接绑定到IP地址的网站或服务。以下是申请IP地址SSL证书的一般步骤:
【无标题】https访问wcf接口
Mars Huang
05-21 334
https 访问 wcf 开发的rest ful接口
总结 HTTPS 的加密流程
weixin_73775528的博客
05-21 744
http是为了解决http存在的问题而在http基础上加入了SSL/TSL,在HTTP/2中TCP三次握手后会进入SSL/TSL握手,当SSL/TSL建立链接后,才会进行报文的传输。
1.Nginx上配置 HTTPS
个人视角下的技术领域探索
05-21 379
服务器如何正确配置
如何使用HTTPHTTPS协议
05-24
HTTPHTTPS协议是应用层协议,用于在客户端和服务器之间进行通信。以下是使用HTTPHTTPS协议的步骤: 1. 打开一个支持HTTPHTTPS协议的应用程序,比如Web浏览器。 2. 在地址栏中输入要访问的网站的URL(Uniform Resource Locator)。 3. 如果访问的是HTTPS协议网站,则需要在URL前面加上“https://”前缀。如果访问的是HTTP协议网站,则不需要加前缀。 4. 应用程序将会向服务器发送一个HTTPHTTPS请求。请求包括请求方法(GET、POST等)、请求头部和请求正文等信息。 5. 服务器接收到请求后,将会解析请求并返回一个HTTPHTTPS响应。响应包括状态码、响应头部和响应正文等信息。 6. 应用程序接收到响应后,将会解析响应并显示网页内容或执行其他操作。 需要注意的是,HTTPS协议是基于SSL/TLS协议的安全传输协议,可以保证数据的安全性和完整性。因此,访问敏感信息或进行在线支付等操作时建议使用HTTPS协议

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值