Linux bloquea el método de alerta de solicitud del navegador en el navegador

En la página del navegador del sistema Linux, la solicitud http no está permitida. Si hay una solicitud http, se producirá un error y el sistema Linux alertará al usuario. Este artículo presentará el sistema Linux para bloquear la alerta de solicitud http en la página del navegador.

Código de alerta

Contenido mixto: la página en ‘ https: //www.taobao.com/‘ se cargó a través de HTTPS, pero solicitó una imagen insegura ‘ http: //G.alicdn.com/s.gif’. Este contenido también debe ser servido sobre HTTPS.HTTPS

Después de la transformación, podemos ver las siguientes alarmas en muchos página:

Muchos operadores no hay conceptos técnicos a https, rellene En los datos, los recursos http son inevitables, el sistema es enorme y la negligencia y las lagunas son inevitables.

Solución

CSP Settings upgrade-insecure-pedidos

Afortunadamente, el W3C Working Group ha considerado la dificultad de actualizar HTTPS. En abril de 2015, se realizó una actualización. El borrador de Solicitudes inseguras, su función es permitir que el navegador actualice automáticamente la solicitud.

Agregue en el encabezado de respuesta de nuestro servidor:

encabezado (" Política de seguridad de contenido: solicitudes de actualización inseguras ");

Nuestra página es https Esta página contiene una gran cantidad de recursos http (imágenes, iframes, etc.) Una vez que se encuentre que la página tiene el encabezado de respuesta anterior, se reemplazará automáticamente con una solicitud https cuando se cargue el recurso http. Puede ver Google proporcionan una demostración:

Pero la gente entender es que este recurso se emitió dos solicitudes, la especulación se logra fallo navegador:

Por supuesto, si no tenemos problemas para trabajar en el servidor /Nginx, también podemos agregar un meta encabezado a la página:

"meta http-equiv = " Content-Security-Policy " content = " upgrade-insecure- Solicitudes " /"

Actualmente solo se admite chrome 43.0 para esta configuración, pero creo que el CSP será el foco de la seguridad de front-end web en el futuro. El borrador de solicitudes de actualización inseguras entrará pronto en el modelo RFC.

Del ejemplo dado por el grupo de trabajo de W3C, se puede ver que esta configuración no procesa un enlace del dominio externo, por lo que puede usarlo con confianza.

Lo anterior es la introducción del sistema Linux para bloquear la alerta de solicitud http en la página del navegador, ya que la aplicación real puede aparecer fácilmente en la página, así que si no bloquea la alarma, siempre se mostrará allí. Más impacto en la experiencia del usuario.