https页面中出现莫名其妙的安全警告

最新推荐文章于 2025-05-19 23:40:37 发布
最新推荐文章于 2025-05-19 23:40:37 发布
阅读量860 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/328910
本文描述了一个关于Internet Explorer中HTTPS页面加载大量HTML内容时出现的安全警告问题。该问题仅在HTML内容超过一定阈值时出现,并提供了一种简单但有效的解决方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在IE中访问一个https的页面,这是一个相对比较安全的操作,所以IE会要求这个页面内的所有内容皆来自于安全的域。这时候要是页面中有http的资源,比如图片、脚本、页面(frame或iframe中)等,在IE的默认设置下我们就会得到一个内容安全的警告窗口。而今天遇到的这个警告可以说是莫名其妙到无语。

    原来在IE6下我就做过对https页面的友好支持,IE6似乎比IE7的要求还严格,iframe的src指向about:blank都算是不安全,会弹出下面这个安全警告窗口(IE7中指向这个空白页已经不算不安全了)。

    SecurityInformation.png
    // 这个窗口看得我都要吐了,今天

    经过一天的debug,最后确定了出错的代码和出错场景。代码如下:
None.gifvar span = node.document.createElement('SPAN');
None.gifspan.innerHTML = data;
None.gifchildTreeContent.innerHTML = String.Empty;
None.gifvar tree = span.childNodes[0].childNodes[0];
None.gifif ( tree && tree.rows.length > 0 )
ExpandedBlockStart.gifContractedBlock.gifdot.gif{
InBlock.gif    childTreeContent.appendChild(tree);
InBlock.gif    this.UpdateProfileIcon(tree.rows[0]);
InBlock.gif    var treeview = this.GetTreeView(node);
InBlock.gif    treeview.CheckedNodes = this.GetAllCheckedNodes(treeview);
InBlock.gif    treeview.SelectedNodes = this.GetAllSelectedNodes(treeview);
ExpandedBlockEnd.gif}

    稍加解释,这段代码就是把从服务器段动态取回来的TreeView的子节点添加到树上去。由于子树的html在返回的时候有一个span作为其container,所以我就先把html转成DOM对象,然后取span对象的子对象的子对象。代码第一行的那个span是用来转换html到DOM对象的,第四行就是取出树(子树)对象,然后判断子树是否有节点,如果有就用过childTreeContent.appendChild(tree)添加到TreeView上去。

    结果问题就出在了这最后appendChild()一句上!更郁闷的这个警告窗口还不是执行这段代码就必然出,它还有一个条件,只有当data中的html代码大于一定数量的时候,才会出这个提示。我反复测试,发现这个阈值在15-20k的html代码之间,具体的那个值到底是几何,我实在是没有兴趣去测出来了。也就是说,当子树的html代码小于15k的时候,执行上面的代码,不会有任何警告提示;而当返回的html代码大于20k的时候,就会出那个Security Information的警告窗口@_@。真是要了亲命的说~~~

    解决这个问题的办法似乎也很扯淡,直接对子树节点的innerHTML赋值就行了。。。
None.gifvar treeData = data.substring(data.indexOf('>')+1, data.length-7);
None.gifchildTreeContent.innerHTML = treeData;
None.gifvar childTree = childTreeContent.children(0);
None.gifif ( childTree && childTree.rows.length > 0 )
ExpandedBlockStart.gifContractedBlock.gifdot.gif{
InBlock.gif    this.UpdateProfileIcon(childTree.rows[0]);
InBlock.gif    var treeview = this.GetTreeView(node);
InBlock.gif    treeview.CheckedNodes = this.GetAllCheckedNodes(treeview);
InBlock.gif    treeview.SelectedNodes = this.GetAllSelectedNodes(treeview);
ExpandedBlockEnd.gif}

    // 只是要用substring方法"手工"移掉作为container的span元素。


本文转自博客园鸟食轩的博客,原文链接:http://www.cnblogs.com/birdshome/,如需转载请自行联系原博主。

【安全警钟(上)】DNS欺骗与劫持:当你的“导航”被恶意篡改
码觉客的博客
05-19 259
在过去的几篇文章中,我们一起探索了DNS的奇妙世界:从它是如何为我们指路,到各种DNS服务器的分工合作,再到缓存的加速魔力,以及那些形形色色的DNS记录类型。DNS系统就像一个高效、可靠的“互联网导航员”,默默地支撑着我们的数字生活。 然而,正如现实世界中的导航系统可能被干扰或篡改一样,我们依赖的DNS系统也并非坚不可摧。如果这个“导航员”被坏人欺骗或劫持,给我们指了一条错误的路,后果可能会非常严重。
浮点数的陷阱:你以为的 0.1 + 0.2其实不是 0.3,BigDecimal你真的用对了吗?
热门推荐
张彦峰的博客
05-18 3万+
在金融和交易系统中,哪怕是一分钱的误差都可能造成巨大损失。然而,很多开发者仍在不经意间落入浮点数的陷阱:看似简单的 0.1 + 0.2,为什么在 Java 中不等于 0.3?本篇文章从底层的 IEEE 754 浮点数标准讲起,剖析误差来源,逐层构建 BigDecimal 使用、格式化控制、精度舍入、判等策略等防线,并结合真实案例总结出一套浮点数处理的实战规范,助你规避金额计算中的隐性风险。
WebBrowser打开https安全链接,弹出"安全警报"(Security Alert)处理
11-15
使用WebBrowser控件时,在打开https安全链接时,可能会弹出"安全警报"(Security Alert)窗口让用户确认.用户只有点击"是(&Y)"才能正常打开网页.这是多余操作.解决方法:定时监视是否有窗口弹出,如果有,获取窗口句柄,再获取窗口中的按钮"是(&Y)"或"否(&N)",模拟点击动作,自动点击"是(&Y)",打开页面.以中国铁路购票网站为例:https://www.12306.cn/mormhweb/
https页面中再次出现莫名的安全警告
weixin_34061042的博客
09-13 237
    上个月费半天劲搞定了一个https页面莫名其妙安全警告,结果今天又被Tester逮到了一个。这个似乎比上一次哪个更有莫名其妙一点点,当然这个安全警告也是一个不能稳定复现的问题。从具体场景来看,说是IE的问题也行,说是实现上的问题似乎也可以。    具体的出错场景是这样的:页面中有一个IFRAME做的模拟Editor。我们知道,使用元素的ContentEditable属性开启的编辑效...
客户端访问https时应无浏览器(含终端)安全警告信息;_HTTPS原理及实践
weixin_39734646的博客
11-27 955
HTTPS原理及实践(by 林坤潮)一、背景 1、网络劫持的危害 2、网络劫持的分类 3、到底是谁在劫持二、防范网络劫持的最佳方案——HTTPS三、HTTPS 简介四、HTTPS 是如何提供安全保障 1、HTTPS 协议交互过程 2、三大安全机制 1)身份认证 2)数据加密 3)完整性校验五、HTTPS 的普及为何困难重重 1、难 -> 易 2、贵 -> 廉 3、慢 -> ...
使用Fiddler监控雷电/夜神模拟器浏览网页:"安全警告:该网站的安全证书有问题."解决方案!
PLA12147111的博客
06-10 2万+
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 访问成功,不再有安全警告弹窗!
Web前端开发中的黑客技术以及安全技术详细版
太阳与星辰的博客
03-18 1047
Web前端开发中的黑客技术以及安全技术
物联网安全期末知识点总结
wym123_的博客
05-28 6458
物联网安全期末知识点总结
揭秘安全性测试:守护数字世界的隐形卫士
大雨的博客
05-19 946
例如,在测试一个大型金融机构的网上银行系统时,Acunetix 能够深入检测系统的各个功能模块,发现潜在的安全风险,并提供详细的漏洞报告和修复建议,确保系统的安全性和稳定性。而 OpenVAS 则是一个开源的漏洞扫描工具,它利用既有的漏洞数据库和在网络上执行的自动化扫描来检测潜在的风险 ,可以扫描各种网络服务,如 HTTP、SSH、SMTP 等,并识别与这些服务相关的漏洞。测试目标的确定,要紧密围绕系统的业务需求和安全要求,比如是要重点检测系统是否存在数据泄露的风险,还是要评估系统抵御外部攻击的能力。
模拟器使用Fiddler代理后,浏览器报错【该网站的安全证书有问题】解决方法
qq_40734108的博客
06-18 5188
报错如下: 一般是访问 https 的网站会报错,猜测是 https 证书未安装 解决办法: 在浏览器 【设置】- 【隐私与安全】- 【显示安全警告】 ,取消勾选就完事
夜神模拟器安装fiddler证书显示“游戏安装包可能异常”
zzz123pp的博客
08-18 1970
这个问题真是无语,网上完全没有相应的问题,全都是直接安装成功,真是醉了 无论怎么设置,都是这样显示 然后我一气之下,安装了旧版本2019-03-28的, 然后,然后 就成功了! 浪费了我一天时间,哭笑不得。。。 ...
去掉IE6 sp2的安全警告
品品观
07-31 1767
这个大家都经常遇到吧。在本地测试页面的时候,只要用到了flash或者js,就会阻止,每次都需要多点击一下。很烦的。其实在页面的加上  这段既可去掉这个安全警告。代码加在任何位置都行。此方法针对XP SP2有效。其实在项目中,我发现用struts等框架,就不会出现这些安全警告了,可能是因为这些框架已经写了这段代码,或者经过特殊处理了。
https页面中使用iframe出现安全警告的解决方法
03-26 1743
Https页面中,如果iframe所引入页面是非https协议的页面,或者src属性不存在都可能导致浏览器弹出安全警告。本人在网上查找相关资料,总结如下几种解决方法: 创建一个只含有的空白htm页面,把iframe的src属性赋值为该空白页面。 elmIfr=document.createElement("IFRAME");elmIfr.scr="blan...
Https证书浏览器红色警告解决
zhangshaopeng的博客
12-13 1万+
浏览器中出现不安全红色警告 Google Chrome: Microsoft Edge: Internet Explorer 解决方案,将https证书导出,加入到本地游览器,此处以Google Chrome浏览器为例,Https证书必须是通过认证机构发布的 目录 1 导出证书(已有请忽略) 2 通过浏览器添加 3 通过window 10 控制台添加 4 通过双...
https页面中使用iframe出现安全警告的解决方法
燕窝
10-15 6955
该问题的出现通常是iframe中的src属性缺失引起的,解决方法如下:1.创建一个只含有的空白htm页面,把iframe的src属性赋值为该空白页面。elmIfr = document.createElement("IFRAME"); elmIfr.scr="blank.html";document.body.appendChild(elmIfr); 2.src = "javascript
前端调试技巧1:fiddler手机抓包问题记录
qq_42428528的博客
10-13 1042
PC端设置 抓包的原理也不是很明白,只说下自己的设置过程: 1、decrypt https traffic 如上图所示,勾选Decrypt HTTPS traffic,然后点击 0K,记得第一次点击时,需要下载证书,一路OK就行了。我电脑可能原来安装过了,这次没有提示安装证书,截图略。 2、设置允许远程连接及fiddler抓包端口号 框里的东西都给勾上吧,点击ok就好了。 3、电脑打开热点 ...
requests https访问错误SSLError: certificate verify failed 及InsecureRequestWarning处理办法
mighty13的专栏
09-24 3万+
在使用requests访问某网站时,提示如下错误,Python版本为2.7.13。SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)经过搜索,urllib或requests在打开https站点是会验证证书。 简单的处理办法是在get方法中加入verify参数,并设为false。reque
python爬虫遇到https站点InsecureRequestWarning警告解决方案
aohuijie9022的博客
08-21 468
python爬虫遇到https站点InsecureRequestWarning警告解决方案 加三行代码即可 from requests.packages.urllib3.exceptions import InsecureRequestWarning,InsecurePlatformWarningrequests.packages.urllib3.disable_warnings(I...
chronyc中配置文件未配置的时间源莫名其妙的出现了
最新发布
05-31
<think>好的,我现在需要解决用户的问题:chronyc配置文件未设置时间源,但自动出现时间源的原因及解决方法。首先,我得回忆一下关于Chrony的知识,以及可能的配置机制。 用户提到他们没有在配置文件中设置时间源,但运行chronycsources时却出现了自动生成的时间源。这可能是什么原因呢?根据之前的引用,Chrony的设计目标是高精度和适应性,特别是在不稳定的环境中。引用[4]提到Chrony相比NTP有更好的性能和精度,可能内置了一些默认行为?首先,可能的原因之一是Chrony的默认配置。虽然用户没有手动添加时间源,但Chrony可能在安装时自动添加了默认的NTP服务器。例如,某些Linux发行版在安装Chrony时会预配置一些公共NTP池服务器,比如pool.ntp.org的项目服务器。这会导致即使配置文件没有显式设置,也会出现这些默认源。另一个可能性是DHCP分配。引用[5]提到计算机计时依赖网络时间同步,如果系统通过DHCP获取网络配置,DHCP服务器可能会提供NTP服务器地址。Chrony可能被配置为自动接受DHCP提供的NTP设置,这会导致时间源自动添加,即使配置文件里没有。需要检查DHCP客户端的配置,比如是否启用了“use_ntp”选项。 第三个原因可能是其他配置文件被包含。Chrony的主配置文件通常是/etc/chrony.conf,但有时会包含其他目录下的配置文件。例如,在Debian系中,可能存在/etc/chrony/conf.d/这样的目录,里面可能有额外的配置片段添加了时间源。用户可能没有检查这些目录,导致忽略了实际生效的配置。 此外,Chrony的某些版本或发行版特定设置可能会自动添加备用源。比如,如果系统检测到没有配置任何源,可能会作为fallback添加默认源以确保时间同步,防止系统时间严重偏差。解决方法方面,首先需要检查所有可能的配置文件,包括主配置文件和任何被包含的目录。使用命令`grep -r 'pool\|server'/etc/chrony*`可以搜索所有相关配置。如果发现来自其他文件的配置,删除或注释掉即可。 其次,检查DHCP设置。查看主配置文件中是否有`use_ntp`或`sourcedir`指令,这些可能会引入DHCP提供的NTP服务器。如果有,可以注释掉相关行,并重启Chrony服务。另外,查看Chrony的日志文件,通常是/var/log/chrony/chrony.log,里面可能会记录时间源的来源,帮助确定问题根源。 如果确认配置文件中确实没有时间源,但依然出现,可能需要考虑Chrony的默认行为是否自动添加了源。这时,可以显式配置为禁用所有外部源,并设置本地时钟,或者手动指定所需的时间服务器。 最后,处理步骤包括停止服务、清理配置、禁用DHCP提供的NTP、重启服务,并验证结果。确保在修改配置后使用`systemctl restartchronyd`或相应的命令使配置生效。</think>### Chrony未配置时间源却自动出现的原因及解决方法 #### 一、问题原因分析 1. **默认配置继承** Chrony在安装时可能自动加载了发行版预设的公共NTP池(如`pool.ntp.org`项目),即使未手动配置,也会通过默认配置文件引入时间源[^4]。例如,某些Linux发行版的`/etc/chrony.conf`中默认包含以下配置: ```conf pool 2.debian.pool.ntp.org iburst ``` 2. **DHCP动态分配** 若系统通过DHCP获取网络配置,DHCP服务器可能推送了NTP服务器地址。Chrony默认会通过`use_ntp`指令自动接收这些地址[^5],导致时间源自动出现。可通过以下命令检查是否启用了DHCP同步: ```bash grep 'use_ntp' /etc/chrony.conf ``` 3. **包含其他配置文件** Chrony主配置文件可能通过`include`或`sourcedir`指令引入了其他目录中的配置片段。例如: ```conf sourcedir /etc/chrony.d # 包含该目录下的所有.conf文件 ``` 4. **本地时钟兜底** 若未配置任何时间源,Chrony可能默认启用本地硬件时钟(RTC)作为时间参考源,显示为`^? 127.127.1.1`[^5]。 --- #### 二、解决步骤 1. **检查所有配置文件** 使用以下命令搜索所有可能的时间源定义: ```bash grep -rE '^(pool|server)' /etc/chrony* ``` 若发现无关配置,注释或删除相关行。 2. **禁用DHCP推送的NTP** 在`/etc/chrony.conf`中注释掉以下指令: ```conf #use_ntp #sourcedir /run/chrony-dhcp ``` 3. **清理冗余配置** 若存在包含其他配置文件的指令(如`sourcedir`),检查对应目录并删除多余文件。 4. **强制指定空配置** 显式声明不依赖任何外部时间源,仅使用本地时钟(适用于无网络环境): ```conf # 禁用所有外部时间源 #server 0.pool.ntp.org iburst # 启用本地时钟 local stratum 10 ``` 5. **重启服务并验证** ```bash systemctl stop chronyd chronyd -q 'pool delete' # 清除所有已缓存的时间源 systemctl start chronyd chronyc sources # 应显示"No sources" ``` --- #### 三、相关技术细节 - **Chrony自动适应机制** Chrony设计上会尝试从多种渠道(如配置文件、DHCP、硬件时钟)获取时间源以增强鲁棒性[^3]。若需严格限制,需手动关闭相关功能。 - **日志排查** 查看`/var/log/chrony/chrony.log`,定位时间源加载的具体触发点。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值