设置要在https://上运行的网站时,有一种方法可以阻止该网页阻止从标准http://加载的任何外部css或javascript。
某些外部文件位于同一个域中,因此可以通过https://调用,但有些来自另一个没有安全连接的域。
答案 0 :(得分:7)
不应该。这些安全措施是有充分理由的。
即使你可以删除它们,这样做也是一个非常糟糕的主意。
中间人攻击可以替代JS或CSS(可以通过各种浏览器扩展嵌入JS)。
这将允许攻击者在页面上运行他们喜欢的任何JS。
JS可以从页面中获取任何数据并将其发送给攻击者。
该页面不安全。
将资产复制到可以通过HTTPS访问它们的位置。
答案 1 :(得分:1)
您可以不使用方案重写链接(例如“//example.com/styles/mystyle.css”)。
See this questions for details
如果某些外部内容无法通过HTTPS访问,您可以在服务器上创建HTTPS代理(如果您愿意,可以使用某种缓存和ACL)。