Nginx配置https兼容http

HTTPS中MixedContent问题解析
最新推荐文章于 2024-03-19 23:19:39 发布
最新推荐文章于 2024-03-19 23:19:39 发布
阅读量1.8k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 javascript ViewUI
原文链接:http://www.cnblogs.com/thatsit/p/11097669.html
本文深入探讨HTTPS页面中加载HTTP资源(MixedContent)的问题,分析现代浏览器如何处理此类资源,特别是JavaScript和CSS文件。介绍upgrade-insecure-requests CSP指令的使用方法,以及在Nginx中的配置示例。

现象

如果一个https站点里面有引用一些http的静态资源,图片可以正常加载,但是js文件、css文件就会加载失败,如下图:

原因

为了解释这个问题,首先要理解一下Mixed Content的概念:
HTTPS 网页中加载的 HTTP 资源被称之为 Mixed Content(混合内容),不同浏览器对 Mixed Content 有不一样的处理规则。

忽略IE等远古浏览器,我们来看下现代浏览器:

现代浏览器(Chrome、Firefox、Safari、Microsoft Edge),基本上都遵守了 W3C 的 Mixed Content 规范,将 Mixed Content 分为 Optionally-blockable 和 Blockable 两类:

Optionally-blockable 类 Mixed Content 包含那些危险较小,即使被中间人篡改也无大碍的资源。现代浏览器默认会加载这类资源,同时会在控制台打印警告信息。这类资源包括:

  1. 通过 <img> 标签加载的图片(包括 SVG 图片);
  2. 通过 <video> / <audio> 和 <source> 标签加载的视频或音频;
  3. 预读的(Prefetched)资源;

除此之外所有的 Mixed Content 都是 Blockable,浏览器必须禁止加载这类资源。所以现代浏览器中,对于 HTTPS 页面中的 JavaScript、CSS 等 HTTP 资源,一律不加载,直接在控制台打印错误信息。

解决

而通过 upgrade-insecure-requests 这个 CSP 指令,可以让浏览器帮忙做这个转换。启用这个策略后,有两个变化:

  • 页面所有 HTTP 资源,会被替换为 HTTPS 地址再发起请求;
  • 页面所有站内链接,点击后会被替换为 HTTPS 地址再跳转;

(另外一个https相关的SCP指令选项是:block-all-mixed-content。启用这个选项之后,所有的非https资源都被禁止加载)

 

实际配置

比如如果有使用nginx做代理,可以在转发请求的时候添加一个Content-Security-Policy的头,并将这个头的值设置为upgrade-insecure-requests,来将http请求转为https。

关键配置:

add_header Content-Security-Policy upgrade-insecure-requests;

 

完整配置样例: 

server {
        listen 443;
        server_name demo.thatscode.com;

        ....
        省略ssl 相关配置
        ....

        location / {

            ....
            省略其他proxy参数
            ....
            proxy_pass http://pool_demo;
            add_header Content-Security-Policy upgrade-insecure-requests;
        }
        access_log  /www/logs/demo.thatscode.com.log;
        error_log   /www/logs/demo.thatscode.com.error;
}

  

参考

https://imququ.com/post/sth-about-switch-to-https.html

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Upgrade-Insecure-Requests

https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content?hl=zh-cn

转载于:https://www.cnblogs.com/thatsit/p/11097669.html

nginxhttps配置兼容http(http强制转换为https)
yuyexiaohan的博客
07-23 2019
nginx使用中,尝试使用https安全网络连接,并兼容http连接,进行如下配置http默认配置 upstream django_01{ server unix:///var/uwsgi/django_01.sock; } # 服务器配置 server { # 监听端口 listen 80; # 域名 server_name www.xxxxxx.com; charset
nginx 配置 https http
R_miss的博客
12-18 2560
nginx 配置 https 域名访问 参考文档https://blog.youkuaiyun.com/heng_yan/article/details/93874035 1.域名已经分配好 这时需要和项目进行关联,能通过域名访问连接调通 分配的域名: https://xxx.com 2个证书文件: xxx.key文件,xxx.pem证书放在服务器上的 使用本地命令把文件放在服务器上 2.进入liunx服务器 先查询服务器是否配置nginx 使用nginx -V查看是否存在 scp /Users/xxx.key ro
iOS9 & iOS10 & iOS11 HTTP 不能正常使用的解决办法
weixin_34240520的博客
06-25 655
今天升级Xcode 7.0 bata发现网络访问失败。输出错误信息 The resource could not be loaded because the App Transport Security policy requires the use of a secure connection. Google后查证,iOS9引入了新特性...
nginx 配置https兼容http 或强制http 转为https
qq_41502780的博客
03-14 939
nginx 配置https兼容http 或强制http 转为https 原创katios 最后发布于2017-06-21 18:02:31 阅读数 22356 收藏 展开 当我们升级httphttps时,为了兼顾一些访问者还是通过http访问的方式,我们通常采用两种方式。 第一种:http 可以访问,https也可以访问。 第二种:http 访问时,重定向到https。 这里说下第一种方...
Nginx 同一端口 同时支持httphttps 协议
虎康的博客
10-16 6073
通过上述配置Nginx 将同时监听 HTTPHTTPS 请求,并根据请求的协议类型进行适配转发。HTTP 请求会被转发至 80 端口,HTTPS 请求会被转发至 443 端口,而后端服务可以使用相同的端口(例如 8000)来处理这些转发的请求。以上配置假设将 HTTPHTTPS 请求都转发至本地的某个服务(如运行在本地 8000 端口上的应用程序)。请注意,为了支持 HTTPS,必须配置正确的 SSL/TLS 证书和密钥,并确保与所使用的域名匹配。
Nginx配置https服务兼容访问http资源
热门推荐
进阶的蜗牛
09-10 1万+
Nginx配置https服务兼容访问http资源 简介: HTTPSHTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错: Mixed Content: The page at ‘https://www.taobao.com/‘ was loaded over HTTPS, but requested an insecure image ‘http://g.alicdn.com
Nginx配置httphttps以及https访问http静态资源.docx
08-25
二、Nginx配置https访问http静态资源 在第一个server块中,我们使用了location指令来配置静态资源的访问。其中,/位置用于配置网站的根目录,add_header指令用于添加Content-Security-Policy头,以便升级不安全的...
nginx配置https,支持httphttps访问
Snow、杨
07-18 6176
前言 移动产品,升级https,由于用了nginx反向代理,所以就把https锁定在了nginx 前期准备 申请阿里云SSL证书 1、找到阿里云SSL证书 2、购买证书 3、根据自己的需求选择证书类型 4、进入SSL证书控制台 5、下载nginx类型证书 上传证书到服务器 1、在nginx的conf文件中创建cert文件夹 2、上传nginx证书到ce...
Nginx同时支持HttpHttps配置详解
09-29
这部分通过在nginx.conf中设置server块来完成,配置HTTPS监听端口为443,并指定SSL证书和密钥文件的位置。示例如下: ```nginx server { listen 443 ssl; ssl_certificate /etc/nginx/conf.d/cert/4351595_*** *...
httphttps支持
weixin_33781606的博客
08-10 186
请求方式支持httphttps: 1.生成证书   keytool -genkey -alias tomcat -keyalg RSA -keystoreE:\kaifa\apache-tomcat-6.0.35\tomcat.keystore -validity 36500   其中-validity 36500表示证书有效期,100年,默认是90天;-keystore E:\kaif...
HTTPS访问网页(支持https方式POST,http可带Cookie).e
06-30
HTTPS访问网页(支持https方式POST,http可带Cookie)
httpshttp
weixin_43268590的博客
08-26 1248
https 第一步,https的定义。 HTTPS(超文本传输安全协议)是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTPS是有加密传输协议的通道,用于安全的HTTP数据传输,并且利用SSL/TLS来加密数据包。 HTTPS是一个URI scheme(抽象标识符体系),句法类同http:体系,并且在HTTP与TCP之间有一个特殊的加密/身份验证。 HTTPS默认工作在TCP协议中的443端口。 用户访问“https://”打头的网站都是应用了标准HTTPS服务。...
nginx配置一个端口同时支持httphttps
daimaxiaoyu的博客
02-21 2984
http重定向到https
在使用https协议的网站里能否使用http
最新发布
ghtty2的博客
03-19 2013
那么这里会涉及到一个重要概念,什么是,为什么会被blocked?那么接下来我们会围绕着这些概念,看看浏览器为了保证我们的安全到底做了什么,以及如何去避免这些报错。关于什么是mixed content,理解它关键在于这个mix,译为混合。那么好了,也就是说产生mix的条件也就是我们在一个安全的网站上使用到了不安全requestresponse又或者是通过不安全的download等等这些都被成为是mixed content。比较不安全,可以升级的:Upgradeable Content。
Nginx部署部分https与部分http【转】
weixin_33695450的博客
06-09 842
转自 Nginx部署部分https与部分http - na_tion的专栏 - 博客频道 - youkuaiyun.comhttp://blog.youkuaiyun.com/na_tion/article/details/17334669 一般而言,大规模的网站都有很多台Web服务器和应用服务器组成,用户的请求可能是经由Varnish,HAProxy,Nginx之后才到应用服务器,中间有好几层。而中小规模的典型部署...
nginx配置httpshttp
qq_42890862的博客
01-05 1375
proxy_redirect http://smtpbhd.dysmt.cn/upload/ https://smtpbhd.dysmt.cn/upload/
nginx既支持http,同时又支持https配置方法
peiyongwei的博客
01-24 3168
server {         listen 443 ssl;  #监听443端口         server_name www.app01.com;         ssl on;                #启用ssl加密         ssl_certificate /etc/cert/xip.io.crt;                 #服务器证书crt文件         ...
nginx配置https的服务页面中引用http资源问题
jerry_player的博客
12-15 5726
今天在跟同事联调需求的时候,发现他们请求我们的http地址都被强制转换成了https,还好我们用nginx做了负载。在nginxhttps模块中配了相应的代理后,请求可以正常转发。但是发现页面显示的资源不全有问题。解决这个问题需要在location 正则匹配里面增加如下:add_header Content-Security-Policy upgrade-insecure-requests;
nginx让所有的http地址重定向到https
weixin_30321709的博客
03-02 393
问:为什么让所有的http都重定向到https呢?答:因为这样会使网站更安全些。 那么我是如何在nginx配置,让输入http://www.youcongtech.com或者youcongtech.com全部都重定向到https://www.youcongtech.com的呢?其实我仅仅只是在nginx.conf配置文件中的server配置了如下: rewrite ^(.*)$ http...
nginx 配置httphttps兼容问题
08-04
通过在nginx配置文件中添加Content-Security-Policy头,并将其值设置为upgrade-insecure-requests,可以实现http请求的自动升级为https。这样,在访问http网页时,浏览器会自动将请求升级为https,而不会报错。[1][2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值