在使用https协议的网站里能否使用http

在使用https协议的网站里能否使用http

回答:

在之前还可以通过img,video等Upgradeable Content来使用http,现在是不可以的,因为在https协议的网站里使用http去请求/相应/下载东西,这个会产生mixed content,这是不安全的,会被浏览器直接block。

背景介绍

想象一个场景,当我们在使用https协议的网站中,使用http的get请求去获取一些数据,我们的浏览器会阻止这个请求并且在控制台报错,如下:

ts 复制代码
Mixed Content: The page at '<URL>' was loaded over HTTPS,

but requested an insecure XMLHttpRequest 

endpoint '<URL>'. This request has been blocked; the content must be served over HTTPS.

那么这里会涉及到一个重要概念,什么是Mixed Content,为什么会被blocked?

那么接下来我们会围绕着这些概念,看看浏览器为了保证我们的安全到底做了什么,以及如何去避免这些报错。

Mixed Content 介绍

关于什么是mixed content,理解它关键在于这个mix,译为混合。 那么好了,也就是说产生mix的条件也就是我们在一个安全的 网站上使用到了不安全的操作,比如说:

  • request
  • response
  • 又或者是通过不安全的download

等等这些都被成为是mixed content。

mixed content的安全性被分为了两大类:

  • 比较不安全,可以升级的:Upgradeable Content
  • 非常不安全,必须要升级的: Blockable Content

(PS:这里的升级比如说是http升级为https)

Upgradeable Content

这些资源类型是Upgradeable并不意味着它们是安全的,只是它们比其他资源类型的灾难性危险要小。

例如,图像和图标通常是应用程序界面中的中心 UI 元素。 如果攻击者颠倒了"删除电子邮件"和"回复"图标,将对用户产生真正的影响。

常见Upgradeable Content 类型如下:

html 复制代码
<img> (src attribute)
<audio> (src attribute)
<video> (src attribute)
<object> subresources (when an <object> performs HTTP requests)

Blockable Content

定义:任何不可按照上面定义Upgradable mixed-content均被视为Blockable Content 。

常见Blockable Content类型如下:

html 复制代码
<script> (src attribute)

<link> (href attribute) (this includes CSS stylesheets)

<iframe> (src attribute)

fetch() requests

XMLHttpRequest requests
All cases in CSS where a url() value is used (@font-face, cursor, background-image, and so forth).

<object> (data attribute)
  Navigator.sendBeacon (url attribute)

参考

w3c mixed-content

mdn mixed-content

相关推荐
uzong4 小时前
7 年 Java 后端,面试过程踩过的坑,我就不藏着了
java·后端·面试
J老熊9 小时前
JavaFX:简介、使用场景、常见问题及对比其他框架分析
java·开发语言·后端·面试·系统架构·软件工程
猿java9 小时前
什么是 Hystrix?它的工作原理是什么?
java·微服务·面试
陪学11 小时前
百度遭初创企业指控抄袭,维权还是碰瓷?
人工智能·百度·面试·职场和发展·产品运营
大数据编程之光12 小时前
Flink Standalone集群模式安装部署全攻略
java·大数据·开发语言·面试·flink
ifanatic14 小时前
[面试]-golang基础面试题总结
面试·职场和发展·golang
程序猿进阶15 小时前
堆外内存泄露排查经历
java·jvm·后端·面试·性能优化·oom·内存泄露
长风清留扬16 小时前
一篇文章了解何为 “大数据治理“ 理论与实践
大数据·数据库·面试·数据治理
周三有雨1 天前
【面试题系列Vue07】Vuex是什么?使用Vuex的好处有哪些?
前端·vue.js·面试·typescript
爱米的前端小笔记1 天前
前端八股自学笔记分享—页面布局(二)
前端·笔记·学习·面试·求职招聘