只要我的门户网站登陆主页,“此页面包含不安全的内容”消息就会出现在Chrome浏览器上。 该站点已启用SSL,并且没有证书配置问题。并且使用URL在jsp页面中包括一些javascript文件,例如http://www.site.com/js/script.js。这些不是启用SSL的站点。 现在,我无法在启用SSL的站点上托管这些JS文件,因为它无法控制。我无权访问这些JS文件。客户说我们需要解决这个问题。任何人都可以建议应该采用什么方法?
由于
答案 0 :(得分:3)
我建议您将JS文件复制到安全服务器,以便安全地托管它们。
如果http://页面上有https://个内容,您将始终收到此警告。
答案 1 :(得分:2)
如果您的网站是敏感的并且需要HTTPS,那么您真正想要做的最后一件事就是从其他人的服务器加载不受信任的Javascript,无论是通过HTTP 还是 HTTPS。即使它是从远程服务器加载的,该脚本也将以完全本地权限运行,与您作为应用程序的一部分自己托管的任何JS一样。 - 您基本上有一个内置设计的跨站点脚本漏洞。
如果托管该javascript文件的第三方网站遭到入侵并且JS被更改为恶意内容,会发生什么?您的用户及其数据受到了损害!另外,你永远不会知道。 (除非您经常测试远程文件的完整性)
如果您有权这样做,请自己托管JS。如果不这样做,请自行重新开发功能,或找到您有权托管的类似库。