Ssl

什麼是由於 http 內容而不是 https 內容而導致的混合內容警告?

  • November 21, 2017

我知道,本質上,https 對發送和接收的數據進行加密,所以在我看來,除了發送到 http 或從 http 發送的數據外,沒有任何東西受到損害,但這個問題更需要澄清,通過 http 提供內容也是如此其他數據不安全?例如,如果我使用 SSL 在我的伺服器上通過 http 請求公共圖像,除了這些圖像的數據和使用者查看這些數據的隱私之外,我是否會損害其他任何東西?

Chrome 和 Firefox(我無法與 Safari 和 IE 對話,它們也可以)阻止HTTPS 頁面上的混合內容。

如果頁面的 URLhttps作為方案,則該頁面上的所有資產都必須通過 HTTPS 載入。圖片、字型、JavaScript、iframe - 如果不是 HTTPS,則不會顯示。

這是為了保護使用者。有多種潛在的攻擊。在 HTTPS 頁面上通過 HTTP 載入的圖像可能會被換成不同的圖像,如果您的鄰居的臉出現在 FBI 的通緝名單上,這可能是個問題。通過 HTTP 載入的 JavaScript 資產可能會被 MITMed 以將您的信用卡發送到攻擊者的伺服器。等等

引用自:https://serverfault.com/questions/884540