js http请求_浏览器 Upgrade-Insecure-Requests:1 请求头的作用

最新推荐文章于 2024-05-02 09:32:17 发布
最新推荐文章于 2024-05-02 09:32:17 发布
阅读量1k 收藏
点赞数
文章标签: js http请求 js跳转页面设置http请求头

今天在调试网站时,发现 html 请求头中有个 Upgrade-Insecure-Requests:1 参数,查了一下相关的资料,感觉挺有意思,记录一下。

419b35b4643d11c311670094e1903175.png

html Upgrade-Insecure-Requests:1 请求头

HTTP Upgrade-Insecure-Requests 请求头向服务器发送一个客户端对HTTPS加密和认证响应良好,并且可以成功处理的信号,可以请求所属网站所有的HTTPS资源。

在https页面中,如果调用了http资源,那么浏览器就会抛出一些错误。为了改变成这一状况,chrome(谷歌浏览器)会在http请求中加入 'Upgrade-Insecure-Requests: 1' ,服务器收到请求后会返回 "Content-Security-Policy: upgrade-insecure-requests" 头,告诉浏览器,可以把所属本站的所有 http 连接升级为 https 连接。

例:

本使用https协议的链接:

http://feiniaomy.com/css/style.csshttp://feiniaomy.com/js/js.jshttp://feiniaomy.com/img.jpg

分别升级https后的链接:

https://feiniaomy.com/css/style.csshttps://feiniaomy.com/js/js.jshttps://feiniaomy.com/img.jpg

注意:

1、升级后的链接在服务器端必需有对应的资源。

2、只会升级网站内部的链接,对于不属于网站同部的链接,则保持默认状态。

3、并不是所以的浏览器兼容此 HTTP 请求头,兼容表如下

服务器响应代码

PHP响应代码

1、

header("Content-Security-Policy: upgrade-insecure-requests");

2、

header('Upgrade-Insecure-Requests: 1');

HTML响应代码

weixin_39587822
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Javascript】Content-Security-Policy upgrade-insecure-requests
十一月的肖邦
01-02 4245
业务场景 在 https 协议下使用阿里云的 OSS 直传功能时,会出现相关错误提示导致图片无法上传 解决方案 可以在客户端页面 head 元素中添加 CSP meta 标签来解决,可参考如下资料: https://cloud.tencent.com/developer/section/1189878 代码示例 function set_content_security_policy() { ...
常用的请求和响应报
z_ipython的博客
08-20 2862
常用的请求 1、Host ( 主机和端口号) Host:对应网址 URL 中的 Web 名称和端口号,用于指定被请求资源的 Internet 主机和 端口号,通常属于 URL 的一部分。 2、Connection ( 链接类型) Connection:表示客户端与服务连接类型 Client 发起一个包含 Connection:keep-alive 的请求HTTP/1.1 使用 keep-a...
说说你对HTTP协议中Upgrade部的理解
最新发布
长风破浪会有时的博客
05-02 239
服务器收到请求后,如果支持WebSockets协议,就会同意升级请求,并返回一个特殊的响应,表示连接已经成功升级成WebSockets连接了。WebSockets协议是一种更高级的协议,它允许我们的电脑和服务器之间建立一个持久的连接,这样我们就可以随时向服务器发送消息,而不需要每次都重新发送HTTP请求。这就像是我们和朋友建立了电话连接,可以随时通话一样。但是,有时候我们想要的不仅仅是一个简单的回信,而是想要和服务器建立一个持久的联系,就像是我们和朋友打电话一样,可以互相发送消息而不需要每次都重新拨号。
浏览器 Upgrade-Insecure-Requests:1 请求作用
qq_33019839的博客
09-27 5万+
今天在调试网站时,发现 html 请求中有个 Upgrade-Insecure-Requests:1 参数,查了一下相关的资料,感觉挺有意思,记录一下。 html Upgrade-Insecure-Requests:1 请求 HTTP Upgrade-Insecure-Requests 请求向服务器发送一个客户端对HTTPS加密和认证响应良好,并且可以成功处理的信号,可以请求所属网站所有的H...
http请求部(header)详解
随便写写
06-25 5637
以上代码是一个基本的 HTTP GET 请求部,其中 User-Agent 控制浏览器的标识,Accept 指定客户端接受的数据类型,Referer 指定请求来源,Accept-Encoding 指定客户端可以接受的压缩编码类型,Connection 指定客户端和服务器之间的连接类型。- Accept-Encoding:指定客户端可以接受的压缩编码类型,如 gzip、deflate 等。- Cache-Control:指定客户端的缓存策略,如 no-cache、max-age 等。
HTTP
Hanani_Jia的博客
10-11 8217
  我们上次在说HTTP版本区别的时候说了,在HTTP1.0的时候加入了报,报中包含了很多信息。报分为两种:一种是请求一种是响应报,自然就是一个是请求的时候发送的一个是响应的时候发送的。 请求由四部分构成请求行、请求、空格和请求数据 这里我们看当你访问百度的时候的请求 GET / HTTP/1.1 Host: www.baidu.com Conne...
webappsec-upgrade-insecure-requests:WebAppSec升级不安全请求
05-05
3. **Upgrade-Insecure-Requests**:这个HTTP响应指示浏览器将所有不安全的HTTP请求自动升级为HTTPS请求。这样可以确保即使URL中输入的是HTTP浏览器也会尝试以HTTPS方式加载资源,从而避免混合内容问题。 4. ...
详解HTTP Upgrade-Insecure-Requests
12-22
浏览器Upgrade-Insecure-Requests详解 搭建HTTPS服务器时经常会遇到该请求
parse-curl.js:解析 curl 命令,返回一个代表请求的对象
08-05
q=0.6' \ -H 'Upgrade-Insecure-Requests: 1' \ -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.110 Safari/537.36' \ -H 'Accept: ...
vite-analysis:从0开始,分析每个提交。 182356:face_screaming_in_fear:
04-06
Upgrade-Insecure-Requests请求 HTTP Upgrade-Insecure-Requests 请求向服务器发送一个客户端对HTTPS加密和认证响应良好,并且可以成功处理的信号,可以请求所属网站所有的HTTPS资源。 在https页面中,如果调用...
CVE-2018-3252:CVE-2018-3252-PoC
03-18
CVE-2018-3252-PoC 1.使用YSOSERIAL生成PoC 2....q=0.8Upgrade-Insecure-Requests: 1wl_request_type: data_transfer_requestusername: weblogicpassword: weblogicserverName: pyn3rddeployment_reque
请求中出现的“Upgrade-Insecure-Requests:1”的解释
hugejihu9的专栏
12-10 1万+
文章来自:源码在线https://www.shengli.me/h5/400.html     浏览器请求中 upgrade-insecure-requests:1表示什么意思呢?     浏览器请求出现的   这行代码表示能读懂服务器发过来的上面这条信息,并且在以后发请求的时候不用http而用https   而  是对应服务器响应的。该指令用于让浏览器自...
Http信息(一)——通用信息(二)
黑夜
10-17 486
介绍 上一篇博文着重介绍了Cache-Control,这篇博文将会介绍剩余的: Connection Date Transfer-Enconding Trailer Upgrade Via Warning 1. Connection Connection信息有2个作用,分别是: 控制不再转发给代理服务器的信息 管理持久连接 (1).控制不再转发的信息 Connection:逐跳首部 什么是逐跳首部?参见:这可能是最全的Http信息资料了 例如:客户端发送给代理服务器的中信息中是 GE
was loaded over HTTPS, but requested an insecure错误解决
热门推荐
YHJ
06-12 6万+
当我们的浏览器出现类似“was loaded over HTTPS, but requested an insecure resource/frame”这种错误是,一般都是因为我们的网站是HTTPS的,而对方的链接是HTTP协议的,因此在Ajax或者javascript请求时,就会报如下这种错误: 具体错误类似如下: Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource '
使用upgrade-insecure-requests的问题
xpb1980的专栏
11-21 2768
使用upgrade-insecure-requests的问题
为什么HTTP Upgrade的时候,需要Connection: upgrade
wukai1211的博客
12-23 5277
很久之前,在看HTTP部的时候,发现WebSocket等协议的Upgrade请求,需要同时带上Connection和Upgrade部。但是,如果是仅仅Upgrade的话,Connection部不就是多余的设计了么? 比如一个典型的WebSocket升级请求如下: 1 2 3 4 5 6 GET /chat HTTP/1.1 Host: example.com:8000 Upgrade: websocket Connection: Upgrade Sec-WebS
HTTP:协议升级机制(WebSocket)
OceanStar的博客
08-05 1万+
HTTP协议提供了一种特殊的机制,这一机制允许将一个已建立的连接升级成新的、不相容的协议。 通常来说这一机制总是由客户端发起的(不过也有例外,比如说可以由服务端发起升级到传输层安全协议(TLS)),服务端可以选择是否要升级到新协议。借助这一技术,连接可以以常用的协议启动(比如HTTP/1.1),随后再升级到HTTP2甚至是WebSockets. 注意:HTTP/2 明确禁止使用此机制,这个机制只属于HTTP/1.1 升级HTTP/1.1的链接 协议升级请求总是由客户端发起的;暂时没有服务端请求协议更改的
HTTP基础之通用首部字段篇(一)
m0_46405589的博客
07-29 442
HTTP HTTP 1.1的标主要分为四种,通用标 、实体标请求 、响应标, 现在我们来对这几种标进行介绍 通用标 HTTP通用标之所以这样命名,是因为与其他三个类别不同,它们不是限定于特定种类的消息或者消息组件(请求,响应或消息实体)的。HTTP通用标主要用于传达有关消息本身的信息,而不是它所携带的内容。它们提供一般信 息并控制如何处理和处理消息。尽管通用标不会限定于是请求还是响应报文,但是某些通用标大部分或全部用于-种特定类型的请求中。也就是说,如果某个通用标出现在请求
upgrade-insecure-requests
山谷里的杂货铺
08-06 1090
今天写代码时发现一个问题,npm run build生成dist包部署的到服务器上时,发现静态文件的地址的请求https,找了许多办法,例如,在config/index.js中添加代码https: true,发现还是解决不了问题,最后解决办法是: 把index.html中的这行代码注释掉: <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> 它的意思就是会在加载 h...
add_header Content-Security-Policy upgrade-insecure-requests;
08-09
引用和中提到的`add_header Content-Security-Policy "upgrade-insecure-requests;connect-src *";`是对Content-Security-Policy(CSP)的配置。通过将`upgrade-insecure-requests`指令添加到CSP中,可以告诉浏览器在加载不安全资源时自动升级为HTTPS协议。这个指令的作用是提高网站的安全性,防止不安全的资源加载。 需要注意的是,`upgrade-insecure-requests`只是CSP的一部分,还可以配置其他指令来进一步加强网站的安全性。在中还提到了其他一些常用的CSP指令,如`X-XSS-Protection`和`X-Content-Type-Options`,它们可以用来防止跨站脚本攻击和MIME类型欺骗等安全威胁。 总的来说,`add_header Content-Security-Policy "upgrade-insecure-requests;connect-src *";`是一个常见的配置选项,用于指定网站的CSP,以提高网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值