关于 https 网站加载 http 资源自动升级的问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐关注

› Meteor

› JSLint - a JavaScript code quality tool

› jsFiddle

› D3.js

› WebStorm

推荐书目

› JavaScript 权威指南第 5 版

› Closure: The Definitive Guide

这是一个创建于 569 天前的主题，其中的信息可能已经有所发展或是发生改变。

网站是 https 的，页面中动态加载了一张图片，地址是 http 的，此时浏览器会将 http 自动升级为 https ，而这个图片链接本身又是不支持 https 的，导致图片无法加载
请教一下各位这种情况有没有代码层面的解决方法？

第 1 条附言 · 2022-09-28 16:21:06 +08:00

忘了说背景了，项目是做富文本编辑的，会有从其它网站推过来的富文本内容，所以内容中的图片、视频资源有可能都是复制过来的，因此这个链接是 http 还是 https 的这边无法控制

图片

升级

请教

网站

22 条回复 • 2022-09-29 15:55:52 +08:00

xiawang

2022-09-28 14:57:32 +08:00

没有

hxysnail

2022-09-28 14:58:12 +08:00

将协议写完整 http://xxxx.com/xxxx.png 也会升级吗？感觉不合理呀……

lixuanyy

2022-09-28 14:58:38 +08:00 via iPhone

这是浏览器的行为，js 也没办法。除非你是 http 站点。不会强制你用 https

cnrting

2022-09-28 15:10:10 +08:00 via iPhone

把圖片放到自己的網站不就行啦

sunhelter

2022-09-28 15:11:47 +08:00

浏览器的安全策略，会在 https 网站内屏蔽非 http 链接

agood

2022-09-28 15:14:54 +08:00

网站支持 https 的话就不要放 http 的内容了，不过也有两种办法
1.把图片等资源放到支持 https 的图床
2.服务器反向代理转为 https

Vegetable

2022-09-28 15:16:32 +08:00

怎么会自动升级？直接就 Mixed Content 屏蔽掉了才对。这情况哪怕你的图片支持 HTTPS 也无法读取

pota

2022-09-28 15:24:54 +08:00

不是直接屏蔽吗，为啥你那边是自动升级？链接写了跟随协议？

MAGA2022

2022-09-28 15:32:32 +08:00

自动升级应该是 meta 或者 headers 里设置了 Content-Security-Policy 为 upgrade-insecure-requests

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

zhuweiyou

2022-09-28 16:08:26 +08:00

没有,既然用了 https,又不全用,还不如取消,直接 http

Puteulanus

2022-09-28 16:21:36 +08:00

可以用一些支持 https 的公共 CDN 套一下，比如说 WordPress 的 https://developer.wordpress.com/docs/photon
纯粹的代码方面没啥解吧，浏览器期望的就是加密页面不要加载非加密资源

296727

2022-09-28 16:33:43 +08:00

反代

baobao1270

2022-09-28 16:35:32 +08:00

如果第三方资源地址是用户提供的话，建议缓存到自己服务器上。

第一，这样可以保护内容安全，防止第三方内容有敏感或带病毒，也可以防止一开始用正常资源骗过审核然后替换。

第二，防止数据和用户隐私泄露，随意加载第三方资源会让第三方知道你用户的 ip 地址和 referer ，甚至陈旧的浏览器会导致 cookie 泄露。