https和http显示混合内容

转自：http://www.cnblogs.com/luminji/archive/2012/07/24/2606248.html

 

如果网站原本是http传输，在部署成https传输后，一不小心就会出现如下的安全提示：
 “This page contains both secure and non secure items. Do you want to display non-secure items?”
或者
 “此网站包含的内容将不使用安全的https连接传送，可能危及到整个网页的安全”

可能引起这个warning的原因，简单归纳来说，不外乎是以下几点：

1) hard-code了http(或其它非https)的URL访问
        这是一个比较常见的问题，一般来说都不要在WEB页面中硬编码URL，可以采用相对URL。 但是也分情况：
<%String path = request.getContextPath()+"/images/logo.gif";%>
<img src="http://www.xxx.com/images/logo.gif"/>
<img src="<%=path%>"/>
上面这两个img中，第一个img会提示警告，而第二个img不会提示警告。
 网页中带Object的，如最多使用的flash：
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"
codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=7,0,19,0" width="549" height="130">
<param name="movie" value="<%=path%>/images/CNYSWF.swf" />
<param name="wmode" value="transparent" />
<embed src="<%=path%>/images/CNYSWF.swf" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" width="549" height="130"></embed>
</object>
 不过这样的代码可以有避免措施，那就是将flash所对应的这个CAB手动部署在自己的网站上，提供https连接。 

2) WEB页面中含有没有设置SRC属性的iframe元素
        这个也比较常见，解决也很容易，可以给每个空的iframe设置SRC属性，这个src可以指向一个空的html页面，或是采用src="javascript:void()"这种方式。
 注意，这个问题，在IE6下出现，IE8下不会出现。7和9没测试。

3) 调用removeChild()方法去移除一个HTML元素，而这个元素包含一个backgroundImage背景图片的style引用
        这个严格来说，应该是IE的一个bug，可以在Microsoft官方网站上找到这个问题的描述和解决方案。不过即使是最新的IE8， 这个问题好像依然存在。
        http://support.microsoft.com/kb/925014 

4) 调用innerHTML()方法给一个HTML元素添加内容，之后再把这个元素添加到HTML DOM中
        这个问题可能在一些Ajax应用中会碰到，通过Ajax动态更新HTML内容，如果内容包含image图片等等内容，也会弹出这个warning。

当然，如果想通过修改IE的选项来显示https和http混合内容，则在安全-〉自定义级的，“显示混合内容”，选择“启用”。

以上内容引自网络