我刚刚目睹了(对我而言)奇怪的浏览器行为,我不太明白。在我配置Nginx以支持HSTS之后,我使用以下index.html测试了一个vhost:
<p>Internal Source:</p>
<img src="Picture1.jpg">
<p>Internal HTTP Source:</p>
<img src="http://samedomain.com/Picture1.jpg">
通过以下方式设置HSTS:
add_header Strict-Transport-Security "max-age=31536000" always;
如果我正确理解HSTS,浏览器会执行类似s / http://samedomain.com/https://samedomain.com/之前开始加载资源。因为我只有443听,所有资源都在加载,我认为我是对的。
由于一切正常,我不知道为什么每个浏览器(经过最新测试:Safari,Firefox,Chrome)指出一个不安全的连接。甚至检查员也说所有资源都通过安全连接加载。
PS: 使用&#34; add_header Content-Security-Policy upgrade-insecure-requests;&#34;设置没有浏览器抱怨。但我无法设置UIR,因为有人可能需要加载不安全的内容。在这种情况下,它显然应该抱怨,但它仍然应该显示一切。
我希望有人能够启发我: - )