9

假设我的网站通过 HTTPS 并且我需要从 加载一个CSSObject资源HTTP,我该怎么做?

请注意,我可以Content-Security-Policy在网站上添加响应标头,HTTPS但我不知道该怎么做。有人可以给我一个解决方案吗?

4

1 回答 1

10

没有解决办法。现代浏览器会拒绝在 https 服务的页面中使用非 https 资源,因为您通过这种方式有效地破坏了 https 的安全模型。CSP 无济于事,因为它不能解决问题。您唯一的选择是通过 http 为站点提供服务,或者通过您自己的站点代理来自外部非 https 站点的包含。但请注意,后一个选项也可能会影响安全模型,因为现在这些外部资源被视为源自与您自己的内容相同的域,因此可能会滥用相同的来源策略。

于 2015-02-14T17:14:10.680 回答