5

Web サイトで HTTPS を使用できるように、(ワイルドカードではない) SSL 証明書をインストールしました。HTTP URL からリソースをリクエストしようとすると、次のようなエラー メッセージが表示されます。

混合コンテンツ: 「https://example.com/」のページは HTTPS 経由で読み込まれましたが、安全でないスタイルシート「http://resources.example.com/style.css」が要求されました。このリクエストはブロックされました。コンテンツは HTTPS 経由で提供する必要があります。

httpとhttpsを混在させることに関して人々が持つ可能性のあるあらゆる種類の意見によると、おそらくそれは悪い習慣だと思いますが、httpよりも重要であるとは見なさない静的リソースのみを要求します。

「iisでhttpsからのhttpリクエストを許可する」などをグーグルで検索しようとしましたが、明確な答えが見つかりません。これを回避する方法はありますか? CORS と同じように解決できますか?

質問があまりスマートではなく、答えが明らかである場合は申し訳ありませんが、ネットワーク関連に関してはかなりの知識がありません。

4

1 に答える 1

5

スタイルシート ... http では重要とは見なさない静的リソース。

CSS にはスクリプトを含めることができ、スクリプトはページを変更できるため、重要と見なされます。

..."iis で https からの http リクエストを許可する" ...

混合コンテンツを拒否する決定は、ブラウザー内で行われます。ブラウザに混合コンテンツを含めることを許可する設定はありません。混合コンテンツと見なされるものの動作は、ブラウザーとバージョンによって異なります。1年前の詳細については、こちらを参照してください。

... CORS と同じ方法で解決できますか?

CORS のセキュリティ モデルは同一オリジン ポリシーを考慮し、サーバーは、特定の反対側が CORS 要求を行う可能性があると判断する場合があります。しかし、この場合、コンテンツが送信中に誰かによって変更される可能性があるかどうかが問題になります(つまり、中間者攻撃)。

于 2015-04-24T15:33:11.170 に答える