允许通过 HTTPS 加载 HTTP 资源
Allow loading HTTP resources over HTTPS
假设我的网站是基于 HTTPS 的,我需要从 HTTP 加载 CSS 或 Object 资源,我该怎么做?
请注意,我可以在 HTTPS 网站上将 Content-Security-Policy 添加到响应 headers 中,但我不知道该怎么做。有人可以给我一个解决方案吗?
没有解决办法。现代浏览器将拒绝在 https 服务的页面中使用非 https 资源,因为您以这种方式有效地破坏了 https 的安全模型。 CSP 不会提供帮助,因为它没有解决问题。您唯一的选择是通过 http 为站点提供服务,或者通过您自己的站点代理来自外部非 https 站点的包含。但请注意,后一种选择也可能会影响安全模型,因为现在这些外部资源被视为与您自己的内容来自同一域,因此可能会滥用同源策略。
假设我的网站是基于 HTTPS 的,我需要从 HTTP 加载 CSS 或 Object 资源,我该怎么做?
请注意,我可以在 HTTPS 网站上将 Content-Security-Policy 添加到响应 headers 中,但我不知道该怎么做。有人可以给我一个解决方案吗?
没有解决办法。现代浏览器将拒绝在 https 服务的页面中使用非 https 资源,因为您以这种方式有效地破坏了 https 的安全模型。 CSP 不会提供帮助,因为它没有解决问题。您唯一的选择是通过 http 为站点提供服务,或者通过您自己的站点代理来自外部非 https 站点的包含。但请注意,后一种选择也可能会影响安全模型,因为现在这些外部资源被视为与您自己的内容来自同一域,因此可能会滥用同源策略。