在安全站点上,浏览器是否遵循从 HTTP 到 HTTPS 的 301 重定向?
Do browsers follow 301 redirects from HTTP to HTTPS, on a secure site?
如果我通过 HTTPS 加载页面 https://example.org,其中包含对 HTTP 资源的引用,例如
<script src="http://example.org/script.js"></script>
我知道浏览器拒绝加载脚本,除非它是 src="https://example.org/script.js"。
我的问题是,如果我实施从 http://example.org/script.js 到 https://example.org/script.js 的 301 重定向,浏览器是否会遵循重定向并通过 HTTPS 加载脚本,还是会拒绝加载?
我相信阻止混合内容的浏览器仍会阻止来自 HTTP->HTTPS 重定向的脚本。
他们当然应该这样做,因为它不安全。攻击者可能已经拦截了 HTTP 请求并将其更改为重定向到一个 HTTPS 地址,该地址不是引用脚本的页面的预期地址。
如果我通过 HTTPS 加载页面 https://example.org,其中包含对 HTTP 资源的引用,例如
<script src="http://example.org/script.js"></script>
我知道浏览器拒绝加载脚本,除非它是 src="https://example.org/script.js"。
我的问题是,如果我实施从 http://example.org/script.js 到 https://example.org/script.js 的 301 重定向,浏览器是否会遵循重定向并通过 HTTPS 加载脚本,还是会拒绝加载?
我相信阻止混合内容的浏览器仍会阻止来自 HTTP->HTTPS 重定向的脚本。
他们当然应该这样做,因为它不安全。攻击者可能已经拦截了 HTTP 请求并将其更改为重定向到一个 HTTPS 地址,该地址不是引用脚本的页面的预期地址。