原因一:
在一个https的网站中,如果加载了http图片资源,浏览器将认为这是不安全的图片资源,将会默认阻止,导致图片是不加载的,同样的css资源、js资源也是一样不加载的。
解决方案:
- 网页使用https情况下需要全站代码都支持https://。
- 如果网站存在图片、js、css、mp4、mp3等任何外来的http数据网页会提示不安全。
- 将外联或本地源码都改成https,外联资源不支持https的下载到本地网页调用。
原因二:X-Content-Type-Options
互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。
例如,我们即使给一个html文档指定Content-Type为"text/plain",在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript。
通过下面这个响应头可以禁用浏览器的类型猜测行为
X-Content-Type-Options "nosniff";
通过设置"X-Content-Type-Options: nosniff"响应标头,对 script 和 styleSheet
在执行是通过MIME 类型来过滤掉不安全的文件
但这会导致图片乱码
解决方案:响应头加上(在nginx中配置)
Content-Type:image/png