假设我的网站是基于 HTTPS 的,我需要从 HTTP
加载一个 CSS
或 Object
资源,我该怎么做?
请注意,我可以将 Content-Security-Policy
添加到 HTTPS
网站的响应 header 中,但我不知道该怎么做这。有人可以给我一个解决方案吗?
最佳答案
没有解决办法。现代浏览器将拒绝在 https 服务的页面中使用非 https 资源,因为您以这种方式有效地破坏了 https 的安全模型。 CSP 不会提供帮助,因为它没有解决问题。您唯一的选择是通过 http 为站点提供服务,或者通过您自己的站点代理来自外部非 https 站点的包含。但请注意,后一种选择也可能会影响安全模型,因为现在这些外部资源被视为源自与您自己的内容相同的域,因此可能会滥用同源策略。
关于ssl - 允许通过 HTTPS 加载 HTTP 资源,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28517391/