设置要运行的站点时,https://是否有办法阻止页面阻止从标准加载的任何外部 css 或 javascript http://。
一些外部文件在同一个域下,因此可以通过 调用https://,但有些来自另一个没有可用安全连接的域。
问问题
7575 次
2 回答
7
不应该有。此类安全措施的实施是有充分理由的。
即使您可以删除它们,这样做也是一个非常糟糕的主意。
中间人攻击将允许替换 JS 或 CSS(可以通过各种浏览器扩展嵌入 JS)。
这将允许攻击者在页面上运行他们喜欢的任何 JS。
该 JS 可以从页面中获取任何数据并将其发送给攻击者。
该页面将不安全。
将资产复制到您可以通过 HTTPS 访问它们的位置。
于 2013-01-14T11:21:11.190 回答
1
您可以在不使用方案的情况下重写链接(例如“//example.com/styles/mystyle.css”)。
如果某些外部内容无法通过 HTTPS 访问,您可以在您的服务器上创建一个 HTTPS 代理(如果您愿意,可以使用某种缓存和 ACL)。
于 2013-01-14T11:47:26.110 回答