我已经安装了(非通配符)SSL证书,因此我的网站可以使用HTTPS。当我尝试从HTTP URL请求资源时,我收到如下错误消息:
混合内容:加载了“https://example.com/”页面 HTTPS,但要求一个不安全的样式表 'http://resources.example.com/style.css'。这个要求已经 堵塞;内容必须通过HTTPS提供。
根据人们在混合http和https时可能会有的各种意见,我认为这可能是一种不好的做法,但我只要求提供一些静态资源,我认为这些资源不比http更重要。
尝试谷歌“允许来自https的http请求与iis”类似,但无法找到明确的答案。有没有办法解决这个问题,它是否可以像CORS一样解决?
很抱歉,如果问题不是很聪明,答案很明显,但在网络方面我缺乏一些知识。
答案 0 :(得分:3)
stylesheet ...静态资源,我不认为它比http更重要。
CSS可以包含脚本和脚本可以改变页面,因此它被认为是关键的。
...“允许来自https的http请求与iis”...
拒绝混合内容的决定是在浏览器中完成的。没有允许浏览器包含混合内容的设置。关于混合内容的行为在浏览器和版本之间有所不同,请查看here以获取一年前的更多信息。
......它可以像CORS一样解决吗?
CORS的安全模型关注相同的源策略,服务器可能会决定特定的其他方可能会执行CORS请求。但在这种情况下,问题是内容是否可能在任何人(即中间人攻击)过程中被修改。