小唐表示很为难!Https访问地址仍然会出现【不安全】提示
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">可以在相应的页面的
里加上这句代码,意思是自动将http的不安全请求升级为https
HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错:
Mixed Content: The page at ‘https://www.taobao.com/‘ was loaded over HTTPS, but requested an insecure image ‘http://g.alicdn.com/s.gif’. This content should also be served over HTTPS.
HTTPS改造之后,我们可以在很多页面中看到如下警报:
很多运营对 https 没有技术概念,在填入的数据中不免出现 http 的资源,体系庞大,出现疏忽和漏洞也是不可避免的。
CSP设置upgrade-insecure-requests
好在 W3C 工作组考虑到了我们升级 HTTPS 的艰难,在 2015 年 4 月份就出了一个 Upgrade Insecure Requests 的草案,他的作用就是让浏览器自动升级请求。
在我们服务器的响应头中加入:
header("Content-Security-Policy: upgrade-insecure-requests");我们的页面是 https 的,而这个页面中包含了大量的 http 资源(图片、iframe等),页面一旦发现存在上述响应头,会在加载 http 资源时自动替换成 https 请求。可以查看 google 提供的一个 demo:
不过让人不解的是,这个资源发出了两次请求,猜测是浏览器实现的 bug:
当然,如果我们不方便在服务器/Nginx 上操作,也可以在页面中加入 meta 头:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">目前支持这个设置的还只有 chrome 43.0,不过我相信,CSP 将成为未来 web 前端安全大力关注和使用的内容。而 upgrade-insecure-requests 草案也会很快进入 RFC 模式。
从 W3C 工作组给出的 example,可以看出,这个设置不会对外域的 a 链接做处理,所以可以放心使用。
想要实时关注更多干货好文,扫描下图关注:
小唐表示很为难!Https访问地址仍然会出现【不安全】提示相关推荐
- 如何部署微信小程序,并且利用Nginx配置https访问
1. 前后端代码的部署 首先要完成项目在服务器上面的部署,对于后端服务的部署,只需要把项目打成jar包,然后执行就可以了,对于前端服务,我们把前端打包后的代码放到对应位置,然后配置nginx配置文件, ...
- 宝塔nginx 默认站点禁止https://ip地址直接访问
宝塔nginx安装后,如果使用ip地址进行https访问,会暴露证书,解决方法如下: 1.在/www/server/panel/vhost/nginx/0.default.conf 中头部修改为如下代 ...
- 微信小程序免费HTTPS证书申请搭建教程(2)---安装SSL并使用HTTPS访问
继续接上一节http://blog.csdn.net/mybelief321/article/details/54429314 上一节我们已经获取了SSL证书,并下载到本地,现在以我的服务器为例,把S ...
- 自建ngrok服务支持https访问
前言 最近从事第三方平台代小程序实现业务开发,很多业务交互请求需要https,本地调试开发实现不了,不可能把部署到生产服务器调试,那又很不方便.我参考网上很多教程,很多不完整,不系统.我于是整理出完整 ...
- 从零开始在 FreeNAS 的 Jail 上安装 NextCloud 并配置 Nginx 作为网页服务器而且 设置SSL证书 使用 https 访问 以及 oc_filecache 修复方法、优化方法
笔者由于FreeNAS(TrueNAS)的ZFS文件系统的功能,想在上面架设NextCloud.本来FreeNAS也自带了NextCloud插件,可是由于国内网络环境的原因,死活安装不上.在某歌一番后 ...
- 群晖域名注册_手把手教你在群晖NAS上用自己的域名实现https访问
本文受众主要面向广大群晖NAS用户 前言: 1. 如果你只在局域网里通过ip地址访问群晖NAS, 2. 如果你只使用QuickConnect来访问群晖NAS, 3. 如果你只使用群晖官方的synolo ...
- 什么你还不知道招聘信息,小唐来教你——最新2021爬取拉勾网招聘信息(一)
文章目录 前言 一.准备我们的库 二.分析分析 三. 代码 四.数据展示 小唐的心路历程 上一篇:没有啦! 下一篇:什么你还不知道招聘信息,小唐来教你--最新2021爬取拉勾网招聘信息(二) 前言 有 ...
- 微信小程序阿里云服务器https搭建
已更新 2018-11-20 1.什么是https? HTTPS(全称:安全套接字层上的超文本传输协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版.即HTTP下加入SSL层,HTTP ...
- 使用mkcert工具生成受信任的SSL证书,解决局域网本地https访问问题
使用mkcert工具生成受信任的SSL证书,解决局域网本地https访问问题 文章目录 使用mkcert工具生成受信任的SSL证书,解决局域网本地https访问问题 1.mkcert简介 2.mkce ...
最新文章
- LeetCode 10. Regular Expression Matching python特性、动态规划、递归
- 20张图带你到HBase的世界遨游
- CountDownLatch闭锁
- facebook对话链接_并非里程碑! Facebook的100种语言互译模型夸大宣传遭质疑
- 互联网控制报文协议(ICMP)
- 玩转SpringBoot 2.x 之搭建 Actuator 和 SpringBoot Admin监控篇
- 三种方法实现多级撤消/重做
- ubantu上adb调试fastboot下载
- vscode 弹窗报错~/AppData\LocalPrograms\Microsavs Code\unins000.exe
- 足球足球裁判昏招大全裁判昏招大全
- 建广数科(文思海辉)招聘
- 【Xmanager】Xbrowser-XDMCP远程访问RHEL5.3配置
- kafka-connect-jdbc 增加source报错:query may not be combined with whole-table copying settings
- Jest 组件库单元测试【基础语法篇】
- Excel 筛选 多表查找
- 玩转Linux之dd命令操作详解
- 画色彩如何画出体积感
- 基站定位和GPS定位区别
- 取消超时订单及延迟处理方案
- linux shell遍历多个数组