那些遇到过的问题

允许通过HTTPS加载HTTP资源

Afs*_*ani 8 ssl https content-security-policy mixed-content

假设我的网站是通过HTTPS而我需要加载一个CSSObject资源HTTP,我该怎么做?

请注意,我可以添加Content-Security-PolicyHTTPS网站上的响应标题,但我不知道如何做到这一点.有人可以给我一个解决方案吗?

Ste*_*ich 9

没有解决方案.现代浏览器将拒绝将非https资源用于https提供的页面,因为您通过这种方式有效地破坏了https的安全模型.CSP无济于事,因为它无法解决问题.您唯一的选择是通过http为网站提供服务,或者通过您自己的网站从外部非https网站提供代理服务.但请注意,后一种选择也可能会影响安全模型,因为现在这些外部资源被视为源自您自己内容的同一域,因此可能会滥用相同的源策略.

  • 如果您不需要 HTTPS 提供的安全性,您可以自由地使用 HTTP 提供完整内容。但其想法是,HTTPS 页面中包含的任何内容都应具有与页面本身相同的保护,否则可能会损害页面的安全性。 (2认同)

归档时间:

查看次数:

4117 次

最近记录:

8 年,4 月 前
相关归档
如何使Java 6与"SSL对等关闭不正确"的SSL连接失败,成功与Java 7一样? 28
Heroku应用程序自动重定向到HTTPS 12
Android上的SSL客户端 7
GKE 入口 https 重定向 - FrontendConfig 无法识别 7
连接安全Web套接字时'java.security.cert.CertificateExpiredException:NotAfter' 6
在Android应用程序中使用KeyStore.getInstance的NoSuchAlgorithmException 3
需要一个带有SSL教程的Kubernetes 1.2 Ingress裸机控制器 3
使用 .ebextensions 未找到在 AWS elasticbeanstalk 中配置 nginx 配置文件 3
gwt ajax ssl登录 2
带有证书管理器的 Istio Kubernetes Ingress:在版本“certmanager.k8s.io/v1alpha1”中没有匹配种类“证书” 2
难疑归档
如何从当前的Git工作树中删除本地(未跟踪)文件? 6561
如何检查字符串是否包含特定单词? 2663
一次捕获多个异常? 2015
<button>与<input type ="button"/>.哪个用? 1588
如何在Git中完全替换另一个分支中的master分支? 1549
编译用于高放射性环境的应用程序 1414
在JavaScript中检测"无效日期"日期实例 1381
如何在SQL中使用JOIN执行UPDATE语句? 1262
sh和bash之间的区别 1194
如何使用$ scope.$ watch和$ scope.$在AngularJS中申请? 1076