AI 助理
备案控制台
开发者社区 安全 文章 正文

修复HTTPS升级后出现 Mixed Content: The page at 'https://xxx' was loaded over HTTPS, but requested an insecure frame 'http://xxx'. This request has been blocked; the content must be served over HTTPS. 的问题

2024-10-11 353
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 修复HTTPS升级后出现 Mixed Content: The page at 'https://xxx' was loaded over HTTPS, but requested an insecure frame 'http://xxx'. This request has been blocked; the content must be served over HTTPS. 的问题

背景
image

由于需要使用摄像头拍照,需要将原来的http升级到https,通过一顿捣鼓,升级成功。
不过页面加载出现了问题,具体的提示是说:你的页面是在https环境,但是你访问了一个资源(我这里是iframe,也可能是stylesheet等其他资源),而这个资源是在http环境下的,浏览器不给你这样玩。
https只能访问https的资源,也因为此修改了接口的baseURL。
解决办法
在nginx 配置中加上 add_header Content-Security-Policy "upgrade-insecure-requests"; 这一条配置即可。

让 http 能够自动转发到 https

server {
listen 80;
server_name yourdomain.com;

location / {
    return 301 https://$host$request_uri;
}

}

server {
listen 443 ssl;
server_name yourdomain.com;
ssl_certificate yourcrt.pem;
ssl_certificate_key yourkey.pem;
ssl_session_timeout 5m;

location / {
    port_in_redirect off;
    proxy_pass http://127.0.0.1:1234;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    # 加上这条即可 👇
    add_header Content-Security-Policy "upgrade-insecure-requests";
}

}
为什么HTTPS和HTTP不能混用?
混合内容问题:当一个安全的 HTTPS 页面试图加载非安全的 HTTP 内容时,这种情况被称为“混合内容”。浏览器通常会阻止这种行为,因为它降低了整个页面的安全性。
安全风险:HTTP 内容没有加密,易受中间人攻击。如果在 HTTPS 页面中加载 HTTP 内容,攻击者可能利用这个未加密的内容来攻击整个页面,比如通过注入恶意脚本。
[kod.kangmingjian.com)
[kod.ybs0510.com)
[kod.chinavision1.com)
[kod.pld8.com)
[kod.rwhds.com)
[kod.bzxtp.com)
隐私和完整性:HTTPS 旨在保护用户数据的隐私和完整性。混合内容使得 HTTPS 页面的这些保障部分失效,因为嵌入的 HTTP 内容不受同样的保护。
用户信任:用户可能信任一个安全的 HTTPS 页面,如果这个页面包含不安全的内容,这可能误导用户,使他们对整个页面的安全性有错误的理解。
如果实在要混用怎么办?
参考这篇文章:如何在 https 的 iframe 里访问 http 页面? | nginx应用实战-3
原理就是在服务器访问http拿到页面,然后包装成https再返回来。
其实最好就是原http页面也升级成https,上面的方法是针对原http不是自己写的没法改的情况下。

文章标签:
安全
应用服务中间件
数据安全/隐私保护
nginx
网络安全
关键词:
HTTPS HTTP
升级HTTP
HTTPS frame
HTTPS loaded
frame HTTP
游客cxtb2yf2r55as
目录
相关文章
embelfe_segge
|
Web App开发 JavaScript 前端开发
解决DevTools failed to load SourceMap Could not load content for .js.map HTTP error code 404 问题
解决DevTools failed to load SourceMap Could not load content for .js.map HTTP error code 404 问题
embelfe_segge
940 0
parish
|
8月前
|
监控 搜索推荐 定位技术
HTTP状态码:如何修复 404 Not Found错误?
互联网上各种类型的网站非常多,无论用户还是网站运营者不可避免的会遇到404 Not Found错误,如果遇到404错误,我们应该如何解决呢?
parish
162 1
吃个甘蔗嚼一年
|
应用服务中间件 Linux 网络安全
【WEB】当HTTPS资源引入HTTP导致报错blocked:mixed-content (混合加载/Mixed Content)如何解决
【WEB】当HTTPS资源引入HTTP导致报错blocked:mixed-content (混合加载/Mixed Content)如何解决
吃个甘蔗嚼一年
6251 0
【WEB】当HTTPS资源引入HTTP导致报错blocked:mixed-content (混合加载/Mixed Content)如何解决
后除
|
API 开发工具 git
解决 `remote: You must use a personal access token with 'api' scope for Git over HTTP.`
`git clone` 报错,解决 `remote: You must use a personal access token with 'api' scope for Git over HTTP.`
后除
519 0
解决 `remote: You must use a personal access token with 'api' scope for Git over HTTP.`
liuyunshengsir
Uncaught DOMException: Blocked a frame with origin "http://localhost:8000" from accessing a cross-origin frame.
Uncaught DOMException: Blocked a frame with origin "http://localhost:8000" from accessing a cross-origin frame.
liuyunshengsir
1411 0
萌狼蓝天
|
前端开发 JavaScript
【WEB前端】【报错解决】This request has been blocked; the content must be served over HTTPS.
【WEB前端】【报错解决】This request has been blocked; the content must be served over HTTPS.
萌狼蓝天
1450 0
javaedge
|
安全 Java Maven
from/to maven-default-http-blocker (http://0.0.0.0/): Blocked mirror for repositories报错解决方案
最近升级Maven到3.8.1后,mvn编译的时候总是提示拉不到依赖,报错: Could not validate integrity of download from http://0.0.0.0/… 关键字maven-default-http-blocker。
javaedge
1253 0
ghost丶桃子
|
JSON 前端开发 数据格式
Ng Http Request/response格式转换
ghost丶桃子
1202 0
杰克.陈
|
Web App开发 数据格式
谈一谈Http Request 与 Http Response
原文:谈一谈Http Request 与 Http Response 写在前面的话:最近帮朋友弄弄微信商城,对于微信的基础开发,基本上就是各种post、get,有时是微信服务器向我们的服务器post、get数据,有时需要我们自己的服务器向微信服务器各种post、get,之间通过json或者xml传送数据。
杰克.陈
1381 0
八百标兵奔北坡
|
4月前
|
监控 安全 搜索推荐
设置 HTTPS 协议以确保数据传输的安全性
设置 HTTPS 协议以确保数据传输的安全性
八百标兵奔北坡
81 3

热门文章

最新文章

  • 1
    【Python】已解决:urllib.error.HTTPError: HTTP Error 403: Forbidden
  • 2
    java操作http请求针对不同提交方式(application/json和application/x-www-form-urlencoded)
  • 3
    什么是 HTTP Range请求(范围请求)
  • 4
    【Python】怎么解决:urllib.error.HTTPError: HTTP Error 403: Forbidden
  • 5
    什么是HTTP POST请求?初学者指南与示范
  • 6
    HTTP代理的响应速度对网页采集有何影响?
  • 7
    动态HTTP代理IP的使用技巧与案例分析
  • 8
    在单个IP地址下实现HTTP代理IP的高效使用
  • 9
    Web基础与HTTP协议
  • 10
    .net HTTP请求类封装
  • 1
    秒懂HTTPS接口(JMeter压测篇)
    2100
  • 2
    《手把手教你》系列技巧篇(四十三)-java+ selenium自动化测试-处理https 安全问题或者非信任站点-上篇(详解教程)
    141
  • 3
    一文读懂HTTPS⭐揭秘加密传输背后的原理与Nginx配置攻略
    364
  • 4
    HTTPS:如何确保您的网站数据传输安全?
    441
  • 5
    网络原理 HTTP _ HTTPS
    81
  • 6
    C# HttpWebRequest 获取 HTTPS 网页内容
    818
  • 7
    Https中间人攻击
    186
  • 8
    Android中Glide加载Https图片失败的解决方案
    513
  • 9
    [计算机网络]---Https协议
    55
  • 10
    HTTPS代理搭建技巧分享​
    271

    • 相关课程

    更多
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应
  • 云安全基础课- HTTP协议基础

    • 相关电子书

    更多
  • 阿里巴巴HTTP 2.0实践及无线通信协议的演进之路
  • CDN助力企业网站进入HTTPS时代
  • Well-That-Escalated-Quickly-How-Abusing-The-Docker-API-Led-To-Remote-Code-Execution-Same-Origin-Bypass-And-Persistence

    • 相关实验场景

    更多
  • 通过轻量消息队列(原MNS)主题HTTP订阅+ARMS实现自定义数据多渠道告警
  • 通过HTTPS加速网关快速部署网站加密
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月