可以允许来自 HTTPS 网站的 HTTP 请求吗?
Possible to allow HTTP requests from HTTPS website?
我已经安装了(非通配符)SSL 证书,因此我的网站可以使用 HTTPS。当我尝试从 HTTP url 请求资源时,我收到如下错误消息:
Mixed Content: The page at 'https://example.com/' was loaded over
HTTPS, but requested an insecure stylesheet
'http://resources.example.com/style.css'. This request has been
blocked; the content must be served over HTTPS.
根据人们在混合使用 http 和 https 时可能有的各种意见,我知道这可能是一种不好的做法,但我只要求静态资源,我认为这些资源对 http 来说并不重要。
试过 google "allow http requests from https with iis" 和类似的,但找不到明确的答案。有没有办法解决这个问题,它是否可以像 CORS 一样解决?
如果问题不是很聪明并且答案很明显,我很抱歉,但在网络方面我缺乏一些知识。
stylesheet ... static resources that I don't regard as critical over http.
CSS 可以包含脚本,脚本可以改变页面,因此被认为是关键的。
..."allow http requests from https with iis" ...
拒绝混合内容的决定是在浏览器内完成的。没有允许浏览器包含混合内容的设置。被视为混合内容的行为因浏览器和版本而异,查看 here 了解一年前的更多信息。
... is it solvable the same way CORS is?
CORS 的安全模型关心同源策略,服务器可能会决定特定的 另一方可能会发出 CORS 请求。但在这种情况下,问题是内容是否可能在传输过程中被 anybody 修改(即中间人攻击)。
我已经安装了(非通配符)SSL 证书,因此我的网站可以使用 HTTPS。当我尝试从 HTTP url 请求资源时,我收到如下错误消息:
Mixed Content: The page at 'https://example.com/' was loaded over HTTPS, but requested an insecure stylesheet 'http://resources.example.com/style.css'. This request has been blocked; the content must be served over HTTPS.
根据人们在混合使用 http 和 https 时可能有的各种意见,我知道这可能是一种不好的做法,但我只要求静态资源,我认为这些资源对 http 来说并不重要。
试过 google "allow http requests from https with iis" 和类似的,但找不到明确的答案。有没有办法解决这个问题,它是否可以像 CORS 一样解决?
如果问题不是很聪明并且答案很明显,我很抱歉,但在网络方面我缺乏一些知识。
stylesheet ... static resources that I don't regard as critical over http.
CSS 可以包含脚本,脚本可以改变页面,因此被认为是关键的。
..."allow http requests from https with iis" ...
拒绝混合内容的决定是在浏览器内完成的。没有允许浏览器包含混合内容的设置。被视为混合内容的行为因浏览器和版本而异,查看 here 了解一年前的更多信息。
... is it solvable the same way CORS is?
CORS 的安全模型关心同源策略,服务器可能会决定特定的 另一方可能会发出 CORS 请求。但在这种情况下,问题是内容是否可能在传输过程中被 anybody 修改(即中间人攻击)。