blocked:mixed-spring 启动升级后出现内容错误
blocked:mixed-content error after spring boot upgrade
我已经将一些相互通信的微服务从 Spring Boot 1.5.3 升级到 2.3.5。
现在我的微服务A调用微服务B,调用失败,状态如下
在 chrome 的开发者工具的网络选项卡上 (blocked:mixed-content)
我不确定是什么改变了我开始收到此错误。
在浏览器的控制台中,我收到以下错误:
Mixed Content: The page at 'https://gateway-url/my-endpoint' was loaded over HTTPS, but requested an insecure XMLHttpRequest endpoint 'http://micro-service-b-url/login'. This request has been blocked; the content must be served over HTTPS.
奇怪的是,我的整个代码库中没有端点/login。
spring启动升级后我无法理解这种行为。
任何关于 spring 引导升级如何导致此错误的指导以及可能的解决方案,我们都表示赞赏。
注意:我发现一些建议使用以下代码解决此问题的答案
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
但看起来它不适用于所有浏览器,我不确定在安全方面使用此解决方案是否安全。
了解问题并找到解决方案。
看起来 SpringBoot 1 中使用的安全挂钩在 SpringBoot 2 中已弃用。
所以在我的微服务 B 中,属性文件中的以下配置在升级后不起作用
security.basic.enable: false
security.ignored=/**
因此 SpringBoot 2 在微服务 B 上强制执行默认安全配置,并且通过网关对微服务 B 的调用被重定向到 web-sso 登录,这导致了神秘的 /login 正在调用端点。
解决方案是禁用默认安全性。我做了以下步骤:
1. Removed deprecated hooks from properties file:
security.basic.enable: false
security.ignored=/**
2. Disabled default security using below config
@SpringBootApplication(exclude = { SecurityAutoConfiguration.class,
ManagementWebSecurityAutoConfiguration.class })
public class MyApplication extends WebMvcConfigurerAdapter{
注意:我不得不排除 ManagementWebSecurityAutoConfiguration.class 因为微服务使用的是 SpringBoot 执行器
我已经将一些相互通信的微服务从 Spring Boot 1.5.3 升级到 2.3.5。 现在我的微服务A调用微服务B,调用失败,状态如下 在 chrome 的开发者工具的网络选项卡上 (blocked:mixed-content)
我不确定是什么改变了我开始收到此错误。
在浏览器的控制台中,我收到以下错误:
Mixed Content: The page at 'https://gateway-url/my-endpoint' was loaded over HTTPS, but requested an insecure XMLHttpRequest endpoint 'http://micro-service-b-url/login'. This request has been blocked; the content must be served over HTTPS.
奇怪的是,我的整个代码库中没有端点/login。 spring启动升级后我无法理解这种行为。
任何关于 spring 引导升级如何导致此错误的指导以及可能的解决方案,我们都表示赞赏。
注意:我发现一些建议使用以下代码解决此问题的答案
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
但看起来它不适用于所有浏览器,我不确定在安全方面使用此解决方案是否安全。
了解问题并找到解决方案。
看起来 SpringBoot 1 中使用的安全挂钩在 SpringBoot 2 中已弃用。 所以在我的微服务 B 中,属性文件中的以下配置在升级后不起作用
security.basic.enable: false
security.ignored=/**
因此 SpringBoot 2 在微服务 B 上强制执行默认安全配置,并且通过网关对微服务 B 的调用被重定向到 web-sso 登录,这导致了神秘的 /login 正在调用端点。
解决方案是禁用默认安全性。我做了以下步骤:
1. Removed deprecated hooks from properties file:
security.basic.enable: false
security.ignored=/**
2. Disabled default security using below config
@SpringBootApplication(exclude = { SecurityAutoConfiguration.class,
ManagementWebSecurityAutoConfiguration.class })
public class MyApplication extends WebMvcConfigurerAdapter{
注意:我不得不排除 ManagementWebSecurityAutoConfiguration.class 因为微服务使用的是 SpringBoot 执行器