我刚刚检查了SSL 服务器测试是否在我的服务器上正确实施了 SSL 证书。我得到了一个档次的一个在他们的排名,但你可以得到一个A +,如果你已经激活HSTS。经过一番搜索,我发现 Google 可能会将 HSTS 视为排名因素。因此,它似乎与 SEO 相关。在实施 HSTS 之前,我有一些问题。
问题 1
如果某些外部 javascript 加载例如我网站上的 http(而不是 https)上的图像,会发生什么情况?HSTS 会阻止整个页面加载还是只阻止特定的“不安全”内容?
问题2
目前(没有 HSTS),如果资源是通过 http 加载的,我会收到“混合内容”警告。如果激活 HSTS,“混合内容”是否真的存在?
我的服务器配置为仅使用 HTTPS;这工作正常。
但是当我访问该网站时,我在 Firefox 中收到了这条消息(在 URL 栏旁边):
Firefox 正在阻止此页面
上的内容 即使内容被阻止,大多数网站仍能正常运行。不安全的内容
本网站上的一些未加密元素已被阻止。
该网站运行良好,我只是讨厌收到该消息并且不知道它的含义。
有什么方法可以确定究竟是什么被阻止了?我试着一一关闭网站上的某些功能,但找不到导致这种情况的原因。
这只发生在 Firefox 中。Chrome 没有显示错误消息。
萤火虫 说:
Blocked loading mixed active content "http://jqueryapi.info/?getsrc=ok&ref=https%3A%2F%2Fexample.com%2F"
这似乎是由 javascript 混淆引起的。如果我将 javascript 代码更改为正常,则不会发生这种情况。所以现在我想知道有没有办法绕过这个?
在解压并启动 keycloak 以侦听 127.0.0.1 后,我将 nginx 配置为可通过 https 从公共可用域访问的反向代理。
这是nginx配置:
http
{
server_tokens off;
upstream keycloak { ip_hash; server 127.0.0.1:8080; }
server
{
server_name name.domain.tld;
listen 443 ssl http2; # managed by Certbot
ssl_certificate /path/to/cert; # managed by Certbot
ssl_certificate_key /path/to/key; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
location /
{
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
add_header Access-Control-Allow-Origin *;
proxy_pass http://keycloak;
}
}
server …