https证书安装后,样试文件出错 Mixed Content: The page at '' was loaded over HTTPS, but requested an insecure styleshee
CSP设置upgrade-insecure-requests
好在 W3C 工作组考虑到了我们升级 HTTPS 的艰难,在 2015 年 4 月份就出了一个 Upgrade Insecure Requests
的草案,他的作用就是让浏览器自动升级请求。
在我们服务器的响应头中加入:
header("Content-Security-Policy: upgrade-insecure-requests");
如果我们不方便在服务器/Nginx 上操作,也可以在页面中加入 meta
头:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />
目前支持这个设置的还只有 chrome 43.0,不过我相信,CSP 将成为未来 web 前端安全大力关注和使用的内容。而 upgrade-insecure-requests
草案也会很快进入 RFC 模式。
从 W3C 工作组给出的 example,可以看出,这个设置不会对外域的 a 链接做处理,所以可以放心使用。
相关阅读
就是在安装了证书的域名下需要添加
header("Content-Security-Policy: upgrade-insecure-requests");
或
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />
这两串代码