允许通过HTTPS加载HTTP资源

时间:2015-02-14 16:00:20

标签: ssl https content-security-policy mixed-content

假设我的网站是通过HTTPS加密的,我需要从CSS加载ObjectHTTP资源,我该怎么做?

请注意,我可以将Content-Security-Policy添加到HTTPS网站上的回复标题中,但我不知道该怎么做。有人可以给我一个解决方案吗?

1 个答案:

答案 0 :(得分:9)

没有解决方案。现代浏览器将拒绝将非https资源用于https提供的页面,因为您通过这种方式有效地破坏了https的安全模型。 CSP无济于事,因为它无法解决问题。您唯一的选择是通过http为网站提供服务,或者通过您自己的网站从外部非https网站提供代理服务。但请注意,后一种选择也可能会影响安全模型,因为现在这些外部资源被视为源自您自己内容的同一域,因此可能会滥用相同的源策略。