标签:Https Mixed Content insecure SSL TLS cdn HTST mashup
随着Mashup的发展,网站不再是自己提供全部内容,它们混合其他网站的内容,而内容的来源则被隐去。Mashup虽然对开发者来说非常有用,但也让我们的HTTPS变得不可捉摸。
Mashup主要通过在页面加载第三方的JavaScript代码来实现的,在HTTPS加密的上下文中,经常会出现第三方的内容和服务不支持HTTPS加密,前几年,百度和Goolge的很多服务业也都不支持HTTPS,最近2、3年,才开始支持全网SSL,但有些小的服务商依然不能做到全部支持HTTPS。
|
Images |
CSS |
Scripts |
XHR |
Websockets |
Frames |
Android Brower 4.4 |
Y |
Y |
Y |
Y |
Y |
Y |
Chrome 41 | Y |
N |
N |
N |
N |
N |
Firefox 30 |
Y |
N |
N |
N |
N |
N |
IE 11 | Y |
N |
N |
N |
N |
N |
Safari |
Y |
Y |
Y |
Y |
Y |
Y |
查找网页是否存在混合内容,推荐使用Chrome的“开发者工具”:
访问需要测试网页,然后打开,开发者工具,选择“Security”-"Non-Secure Origin",就可以看到Mixed Content:
新的网站开发,在搭建测试环境时,建议直接在测试环境部署HTTPS,以确保网站在测试时就能及时发现混合内容问题,并及时纠正。
程序员在代码开发时,可以采用以下方式:
HTST是一种强制浏览器获取安全资源的机制,即使在面对用户错误(譬如用户用80端口访问到你的网站)以及实现错误(网站开发人员在HTTPS页面上加了不安全的元素)也依然有效。这个特性有效的消除了混合内容的问题,但仅能在你能控制的域名下工作。
HTST要求通过301跳转的方式,一下仅就IIS简要介绍一下:
首先在网站上配置1个HTTP的网站,和一个HTTPS的网站,选择HTTP重定向:
状态代码设置为:永久(301)。重定向到相同域名的HTTPS站点上。
有关HTST的详细使用,我们将另外发文介绍。
为了阻断从第三方网站获取到的不安全资源,可以使用安全内容策略(Content Security Policy,CSP)。这个安全特性可以对不安全的资源进行阻断。它同时还有很多其他有用的特性来处理应用层安全问题。
FYI:https://www.myssl.cn/home/article-56.html