我强行https访问我的网站,但某些内容必须加载过来http(例如视频内容不能通过https),但浏览器阻止请求,因为mixed-contents policy.
经过几个小时的搜索,我发现我可以使用内容安全策略但我不知道如何允许混合内容。
<meta http-equiv="Content-Security-Policy" content="????">
你不能。
CSP 的目的是限制您网站上的内容,而不是放松浏览器限制。
安全的 https 网站为用户提供了一定的保证,然后允许在其上加载 http 内容(因此出现混合内容警告)是不公平的,如果您可以在未经用户同意的情况下隐藏这些警告,则确实不公平。
您可以使用 CSP 来帮助迁移到 https,例如:
您可以使用它自动将 http 请求升级为 https(尽管浏览器支持并不通用)。如果您错过将 http 链接更改为 https 等效链接,这会有所帮助。然而,这假设资源可以通过 https 加载,听起来好像你不能通过 https 加载它们,所以这不是一个选项。
您还可以使用 CSP 来帮助您识别站点上您错过的任何 http 资源,方法是向您可以监控的服务报告一条消息,表明尝试加载 http 资源。这允许您识别并修复 http 链接到 https,这样您就不必依赖上述自动升级。
但这都不是您真正想要的。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
