谢冠岚的个人学习网站



HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错:
——–

Mixed Content: The page at 'https://domain.com/w/a?id=074ac65d-70db-422d-a6d6-a534b0f410a4' was loaded over HTTPS, but requested an insecure image 'http://img.domain.com/images/2016/5/3/2016/058c5085-21b0-4b1d-bb64-23a119905c84_cf0d97ab-bbdf-4e25-bc5b-868bdfb581df.jpg'. This content should also be served over HTTPS.

很多运营对 https没有技术概念,在填入的数据中不免出现http的资源,出现疏忽和漏洞也是不可避免的。

办法一:CSP设置upgrade-insecure-requests

W3C工作组考虑到了我们升级HTTPS的艰难,在2015年4月份就出了一个Upgrade Insecure Requests 的草案(http://www.w3.org/TR/mixed-content/),
他的作用就是让浏览器自动升级请求。在我们服务器的响应头中加入:

server {
  ...
  add_header Content-Security-Policy upgrade-insecure-requests;
  ...
}

我们的页面是 https 的,而这个页面中包含了大量的 http 资源(图片、iframe等),页面一旦发现存在上述响应头,会在加载 http 资源时自动替换成 https 请求。

方法二:页面中加入 meta 头:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

目前支持这个设置的还只有 chrome 43.0,不过我相信,CSP 将成为未来 web 前端安全大力关注和使用的内容。而 upgrade-insecure-requests 草案也会很快进入 RFC 模式。


原文:大专栏  谢冠岚的个人学习网站

原文地址:https://www.cnblogs.com/wangziqiang123/p/11618228.html

时间: 2024-10-09 14:38:21

谢冠岚的个人学习网站的相关文章

Java学习网站汇总【备忘】

Java学习网站http://www.javaxxz.com Java学习者论坛,资源非常多,适合初学者. http://www-900.ibm.com/developerWorks/cn/java/index.shtml IBM的JAVA专题——永远的蓝色巨人 http://www.huihoo.com 灰狐动力——Enterprise Open Source http://www.jdon.com J道——JAVA和J2EE解决之道 http://www.chinaunix.net Chin

数据库学习网站和linux学习网站

Oracle ITPub论坛 http://www.itpub.net 著名IT技术论坛.尤以数据库技术闻名. ITPUB论坛的前身应该是建立在 smiling 的 oracle小组,他们搬家前的主页应该是在下面的这个地址吧! http://oracle.myrice.com/ CNOUG论坛 http://www.cnoug.org/ oracle中国用户组,高手云集,讨论Oracle数据库安装.管理.备份.恢复.性能优化: Oracle数据库高级技术HA.VLDB.ORACLE INTERN

【转】【Flex】FLEX 学习网站分享

[转:http://hi.baidu.com/tanghecaiyu/item/d662fbd7f5fbe02c38f6f764 ] FLEX 学习网站分享 http://blog.minidx.com/flex核心开发技术:http://blog.csdn.net/mervyn_lee/archive/2008/10/07/3027039.aspxfl部落:http://www.fltribe.com/捕鱼者说http://www.cnblogs.com/fishert/category/85

学习网站

js 在线学习手册 http://javascript.jz123.cn/ http://www.w3school.com.cn/js/ http://www.itlearner.com/code/js_ref/contents.htm http://www.w3cschool.cc/jquery/jquery-tutorial.html http://zh.html.net/tutorials/css/ http://www.jc88.net/Article/wyzz/1383.html PH

Java学习网站

黑马: http://bbs.itheima.com/forum.php 考试网站: http://www.nowcoder.com/ 牛客网 比较专业的学习技术网站: http://www.ibm.com/developerworks/cn/java/j-lo-chinesecoding/ 开源中国 : http://www.oschina.net/ 学习网站 : http://iteye.com/ ImportNew : http://www.importnew.com/16843.html

传智播客内部 学习网站+书籍分享

IT社区: http://www.cnblogs.com/ http://www.csdn.net/ http://www.51cto.com/ http://www.cocoachina.com/ http://www.techcn.com.cn/ http://mobilehub.io/   推荐 iOS 学习网站: http://www.w3school.com.cn/ http://objccn.io/ http://github.ibireme.com/github/list/ios/

Ngnice-国内ng学习网站

今天给angular新手介绍一个国内开源的ng学习网站http://www.ngnice.com/这是由一批ng爱好者在雪狼大叔的带领下共同开发完成,致力于帮助更多的ng新人,他们分别是: ckken,grahamle,NigelYao,asnowwolf,lightma,joeylin,FrankyYang,lrrluo, why520crazy,破狼,二当家, Ken, zxsoft, why520crazy, playing,天猪.jacobdong.以及一批后加入或审校未记名的社区爱好者

【DevStore实用篇】8大有趣的专业编程学习网站

摘要: 1.很有影响力的趣味编程网站Codecademy Codecademy在今年4月全新改版,启用了全新的设计风格,新网站界面漂亮,充满了极客的味道.而在今年年初独立注册用户已经突破 2400 万. 适用人群:趣味性十足,适合没有编程基础的新手入门,还有中文版本,适合国内用户使用. code.org是一家非盈利组织,它的宗旨就是让 CS(计算机科学)这门学科能够进入到全球的每一所学校中去.主推项目之一是“一小时编程”,将会面 向全世界开放并推广,而且不会针对任何特定的等级水平,处于任何年龄段

Java学习网站大全

0.  java学习必看,你的大方向http://java.itcast.cn/subject/hadoop2/index.shtml?140701lcqqq1 1.JDK6中文API:http://tool.oschina.net/apidocs/apidoc?api=jdk-zh 2.Netty4.x用户向导:http://netty.io/wiki/user-guide-for-4.x.html 3.Apache tomcat官方API:http://tomcat.apache.org/t