我的理解是,如果您有一个 https 站点,您希望所有外部文件(js、css、图像等)也都是 https,以免您收到有关某些内容不安全或其他内容的警告。
好吧,我只是尝试了一下,根本没有收到任何警告。
我在哪里可以看到这些警告?另外,假设这是真的……相反的是真的吗?如果您在 http 网站上包含 https 内容,您会冒任何警告的风险吗?
FWIW我试过这个:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js"></script>
谷歌默认有人这样做:
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js"></script>
这样就可以了,因此它可以从 http 或 https 获取,具体取决于您的网站使用的内容。当然,如果 http 上的 https 没有给出任何警告,似乎对所有 js 文件执行 https 也可以。
错误消息将显示在用户/查看者的浏览器上。[此站点](https://security.stackexchange.com/questions/1692/is-posting-from-http-to-https-a-bad-practice)有一些解释为什么会出现错误消息。
假设你问的是 google 的代码是如何工作的,它被称为协议相对 URL。链接文件的协议将继承包含它的页面的协议。因此,如果您的页面是 https,那么它将通过 https 发送。
您可以使用
<script src="https://ajax.googleapis.com/ajax/jquery/1.8.3/jquery.min.js"></script>
或者删除“https:”并通过 https 发送 js,前提是您的页面是 https。
再补充一点,如果您在 https 网页上通过 http 加载内容,那么您会收到警告,但如果您反其道而行之,则不会有任何警告,但请记住,https 比 http 慢。因此,仅在 https 页面上使用 https。