https页面如何加载http资源

您的位置: 主页 > 新闻动态 > 建站常识 > 详细信息

    最近部分客户反映网站从http访问升级到https后发现部分页面出现以下现象:1.部分内容加载不能正常显示或显示为空白  2、浏览器上方提示“此页面正在试图从未经验证的加载脚本”、“加载不安全的脚本”针对此问题我们从技术上给出以下解决方案,若需要技术支持的请联系对应业务经理。

资源替换

HTTPS 网页中加载的 HTTP 资源被称之为 Mixed Content(混合内容),我在之前的文章中详细介绍了 Optionally-blockable 和 Blockable 两类 Mixed Content,也介绍了各种浏览器对 Mixed Content 的加载策略。为了最好的用户体验,HTTPS 网站不要出现任何 Mixed Content。换句话说,HTTPS 页面中所有资源都必须替换为 HTTPS 的。

代码层的替换比较简单,但一些存在数据库中的文本(例如商品描述中的图片地址)就很容易遗漏,需要特别注意。

如果你的网站只打算支持 HTTPS,将所有外链资源(CSS、JS、图片、音频、字体文件、异步接口等等)直接替换为 HTTPS 地址,再把网站 HTTP 请求重定向到 HTTPS 即可。

当前很多支持 HTTPS 的网站出于各种原因,针对老旧浏览器或特殊网络还是允许通过 HTTP 访问。这时候,强烈建议让所有资源服务都同时支持 HTTP/HTTPS 访问。这样只要页面在使用这些资源时省略协议部分,浏览器就能根据主页面协议类型来自动选择 HTTP/HTTPS 资源。例如:

HTML<img src="https://example.com/static/img/blog/ququ.jpg" />
=>
<img src="//example.com/static/img/blog/ququ.jpg" />

针对现代浏览器,还可以通过 upgrade-insecure-requests 这个 CSP 指令,让浏览器自动替换。

省略 URL 协议有个风险点:个别移动网络提供商篡改页面时,会将这种写法的 URL 改坏,导致资源无法访问。

服务端代理

在启用 HTTPS 的实际过程中,本站的静态资源和接口相对容易改造,毕竟都可控。但很多第三方资源或接口就是不提供 HTTPS,那就只能在服务端做一层 HTTPS 代理。

服务端代理另外一个典型应用是用来解决跨域问题。通常代理本身要做的工作不多,直接用 Nginx 做反向代理,或者用 Lua、Node.js 等语言构建轻量中转服务都是不错的选择。但也有几点需要注意:

另外,对于页面上通过 iframe 嵌入的第三方 HTTP 页面,如果要做 HTTPS 代理,还需要修改页面里的所有资源链接,很容易出问题。对于这种情况,强烈建议联系第三方修改或者换产品方案,不要在 HTTPS 代理上耗费太多精力。

还有一个不那么常见的问题顺便说下:如果页面表单的 action 地址使用了 HTTP 地址,会导致 Chrome 地址栏绿色小锁消失。下面是一个简单示例:

<form action="http://imququ.com"></form>

 

 

 

最后,再讨论一个第三方接口由本地服务提供的特殊场景(例如 Android APP 在本地开一个 127.0.0.1 的 HTTP 服务,给网页调用)。这个服务几乎不可能升级为 HTTPS,显然也无法使用服务端代理。对于这个问题,我在《利用图片传输数据的另类思路》这篇文章里,提供了一种能用但不完美的解决方案。

Referrer

目前大部分浏览器,在发生协议降级时默认不发送 Referrer 信息,最典型的场景就是从 HTTPS 页面点链接跳到 HTTP 网站时,浏览器并不会在请求头中带上 Referer 字段。对于给第三方导流的网站,这一点肯定无法接受。

针对现代浏览器,这个问题可以通过给页面加上下面这个 meta 标签来解决:

<meta name="referrer" content="always" />

针对老旧浏览器,这个问题可以通过在本站部署 HTTP 跳转服务来解决,借助 HTTP 页面把 Referrer 传给第三方。

另外,本文同时出现了 Referrer 和 Referer 两种写法。

连通性

很多网站在启用 HTTPS 之后,都会接到无法访问的用户反馈。除去自身配置问题(我在《从启用 HTTP/2 导致网站无法访问说起》一文中列举了常见的配置错误)之外,很有可能是 HTTPS 连通性受到了干扰。

最常见的干扰是运营商劫持了域名 DNS 解析,这种劫持服务器一般会将用户请求反代到源网站,再在响应里夹带私货。在 HTTP 时代,这种劫持多半只会造成页面出现广告,网站还能用;而升级到 HTTPS 后,由于身份认证机制的存在,劫持服务器无法成功反代第三方网站(成功实施 HTTPS 中间人攻击的条件请看《三种解密 HTTPS 流量的方法介绍》),从而导致网站完全不可用。

我们最近在移动端做过一个统计:对比在 HTTP 网站加载本域 HTTP/HTTPS 空图片的失败率(我们对失败的定义是触发图片的 error 事件,或者超过 9s 仍未触发 load 事件),HTTPS 要高出三个百分点。

对于 HTTPS 请求失败日志,还可以进一步分析,比如找出是哪些运营商 / 地域的 HTTPS 联通性比较差,从而有针对性做一些策略。由于每个业务情况都不相同,这里只抛出问题,详细的统计数据和应对措施不在这里讨论。

本文先写到这里,有新的注意事项我会随时补充进来。最后我想说的是,启用 HTTPS 并不复杂,虽然会遇到各种各样的问题,但都能找到对应的解决方案,所需的无非就是决心、耐心和细心。在现代浏览器中,越来越多的新功能都限定在 HTTPS 下才能使用,HTTPS 也是部署 HTTP/2 的先决条件。HTTPS 和 HTTP/2 已经成为 WEB 服务的标配,赶紧行动起来吧。
 

相关阅读

猜您喜欢

我们已经准备好了,你呢?
2020我们与您携手共赢,为您的企业营销保驾护航!

不达标就退款

高性价比建站

免费网站代备案

1对1原创设计服务

7×24小时售后支持

 

全国免费咨询:

027-8766-8619

武汉咨询:027-8766-8619 / 135-4504-0546(王工)

上海咨询:021-6131-8508 / 159-0051-3753(朱工)

武汉总部:武汉市洪山区书城路26号洪山科技园B座101-1

上海分部:上海市静安区共和新路3737号(共和国际)B座1208

Copyright © 2011-2020 武汉汇众恒兴信息技术有限公司      ICP备案:鄂ICP备15021543号 鄂公网安备1010102000001号 工商亮照 旧版入口     法律顾问:华师律师事务所 CNZZ

在线
客服

在线客服服务时间:9:00-20:00

客服
热线

027-8766-8619
7*24小时客服热线

13545040546
项目经理手机

微信
咨询

加微信获取报价
顶部