0

我有一个可以通过 http (http://mysite.com) 和 https (https://mysite.com) 访问的站点。https 版本包含受保护的内容,而 http 内容是供公众使用的。两个内容都在同一台服务器上。

一些 https 页面包含一些元素,例如托管在 http 页面上的图像。因此,当一个人访问 https 站点时,IE 的安全警报会弹出,说所需的内容包含不安全的数据。知道无论如何都没有风险,我想停止那个弹出窗口。这是否只能通过客户端的 IE 设置来完成,还是我需要对 SSL 证书和配置做一些事情?任何指南都受到高度赞赏。

4

2 回答 2

2

请理解警报的存在是有原因的。现有的 SSL 证书可防止中间人攻击*. 如果您从非 https 来源加载资源,那么您原本拥有的中间人保护就会丢失。用户的数据可能仍然被加密,但用户是否将他的所有数据发送到攻击者的计算机并自行解密并不重要!

您需要记住 HTTPS 是一个全有或全无的方案。一旦您在页面中引入非 HTTPS 元素,您就基本上失去了 SSL 必须提供的所有安全性。

请在 HTTP 和 HTTPS URL 上安装您的资源(或以某种方式使其可用)并相应地加载它们。如果你不这样做,你会让你的用户面临不必要的风险。

*仅当您拥有完全有效的 SSL 证书时。

于 2012-06-25T14:45:04.777 回答
2

IE 并不是唯一会提供这种性质的弹出窗口的浏览器。从记忆中,Firefox 和 Chrome 有类似的警告(比如他们删除了挂锁,或者https在地址栏中将其变为红色,而不是绿色)。

让它消失的唯一方法是仅在 https 页面中引用 https 资源。您是否检查过您所指的内容没有安全版本?我使用的所有工具通常都有一个等效的https://域。

于 2012-06-25T14:11:14.173 回答