我有一个可以通过http(http://mysite.com)和https(https://mysite.com)访问的网站。 https版本包含安全内容,而http内容供公众使用。两个内容都在同一台服务器上。
某些https页面包含一些元素,例如在http页面上托管的图像。因此,当一个人进入https网站时,会弹出IE的安全警告,说明所需的内容包含不安全的数据。知道无论如何都没有风险,我想停止那个弹出窗口。这是仅通过客户端IE的设置来完成的,还是我需要对SSL证书和配置做些什么?任何指南都非常感谢。
答案 0 :(得分:2)
IE不是唯一能够提供这种性质的弹出窗口的浏览器。从内存来看,Firefox和Chrome都有类似的警告(比如他们删除了挂锁,或者让https在地址栏中显示为红色,而不是绿色)。
唯一可以让它消失的方法是仅在https页面中引用https资源。您是否检查过您所指的是没有安全版本?我使用的所有工具通常都有一个等效的https://域。
答案 1 :(得分:2)
请理解警告是有原因的。适当的SSL证书可以防范man-in-the-middle attacks *。如果您从非https源加载资源,那么您将拥有的中间人保护将丢失。用户的数据可能仍然是加密的,但如果用户将所有数据发送给正在对其进行解密的攻击者的计算机,则无关紧要!
您需要记住,HTTPS是一种全有或全无的方案。 只要在页面中引入非HTTPS元素,您就已经失去了SSL必须提供的所有安全性。
请在HTTP和HTTPS URL上安装您的资源(或以某种方式使它们可用)并相应地加载它们。如果不这样做,则会给用户带来不必要的风险。
*仅当您拥有完全有效的SSL证书时才能使用。