iframe - 授权混合内容标签？

Question

我遇到了混合内容 (http/https) 阻塞的问题。

我有三个子域“a”、“b”和“c”。只有 b 在 SSL 上可用。

我有一个具有以下框架结构的 Web 应用程序：

• 导航到http://a.example.com
• 页面包含指向http://a.example.com上另一个页面的 iframe
• iframe 向https://b.example.com/发出 ajax 请求
• iframe 将 window.location.href 设置为https://b.example.com/
• iframe（现在在https://b.example.com/上）将嵌套的 iframe 加载到https://b.example.com/上的另一个页面
• 嵌套 iframe<a href="">直接提供给http://c.example.com/

最后一个链接被浏览器的混合内容安全策略阻止：

铬 30：[blocked] The page at https://b.example.com ran insecure content from http://c.example.com.

火狐 23：Blocked loading mixed active content "http://c.example.com/"

如何授权此直接<a href="">链接绕过混合内容安全策略？

Answer 1

我首先想到将<a href="">链接指向https://b.example.com/，这将使 302 重定向到http://c.example.com/上的正确目标，但我看到 Firefox 正计划阻止这个作为他们混合内容安全策略的一部分（错误#418354和#456957）

其他解决方案是重新架构所有物理硬件以合并 b.example.com 和 c.example.com 机器；或尝试通过 SSL 使 c.example.com 可用（混乱、多个虚拟主机和 SNI 还不够兼容）

一个简单的target="_blank"似乎可以避免这个问题，虽然它并不理想，但在我的情况下它是合适的，我想我会使用这个解决方案。如果有任何其他解决方案，我会留下这个问题。