关于 https 平台下 iframe 嵌入 http 链接，浏览器报安全警告的问题

HTTPS 的页面中，禁止加载 HTTP 的资源，这是规范，不能改

现在 SSL 证书好多免费的，不用购买啊，用免费的就行啊

chrome 这块唯一的方法就是在浏览器的网站权限设置里面开启`不安全内容`，但这个是走的调用方当前域名的，虽然不是顶级域名，但粒度也是比较粗的，并且还得用户手动调整，极其不友好。

建议还是申请上个 ssl 吧，他好你也好。。

@renfei #1

其他浏览器不清楚，但 chrome 可以针对当前域名手动干掉限制，不知道楼主什么场景。。

第一，没有别的办法；第二，部署证书不需要掏钱

没有购买域名是吧，实在不行个人掏钱买一个，买个便宜的，几块钱一年。
或者自己用的域名，开设一个二级域名。
至于 SSL 证书，免费 1 年的有，自动脚本的也有。

在一个公司的成本中，域名的成本低到可怕，工作还是要学会如何申请资源、申请预算，不要什么都靠自己的双手去搞。

能上 HTTPS 就上，最好别想什么怪招绕过。
要是将来 HTTP 页面被攻击了，导致别人平台也受牵连了，到时候就有扯不完的纠纷了。

可以反向代理对方的套 https 来解决。但为啥你们不自己上 https……

@flyqie 调试的时候是这样搞得，目前联调结束了，就差这个问题了

@flyqie #3 你无法远程操作用户手里的浏览器设置啊，自己改自己的浏览器只是自己降低了自己浏览器的安全等级，并不能干预其他用户啊

让对方反代

@tony1016 部署证书我看到的是需要域名的，公司现在还没有申请

@githmb 我也是想要这样做，但是我想自己先试试（用自己的域名），但是没搞通

@renfei 的确是这样的，ssl 是一劳永逸的最优解

@ImmerTry 没有域名的 web 现在居然还能对外提供服务？你们难道不是国内，或者搞的不是公网吗？


@ImmerTry 别用自己的域名，再次强调，给公司干活不要用自己的私人资源，除非事先就和公司讲清楚。你看看前两天那个用自己的 chatgpt-key 给公司搭建 chatgpt 服务的哥们，最后搞出多大的纠纷来，还被公司告

@clf 有反向代理的配置参考么；公司上 https 走流程要花一些时间，想着看能不能有别的方法

@abcbuzhiming 感谢提醒，目前是提供的公网 IP 供对方访问。

补充以上，让公司赶紧购买域名，因为，接下来还有备案，这个不麻烦，但是要等至少 20 自然天。

反向代理可以这样设置，比如 nginx
location ^~ /你的域名 {
proxy_pass http://你的域名/;
}

然后 iframe 地址
<iframe src="https://他的域名/你的域名/..."></iframe

或者直接
<iframe src="/你的域名/..."></iframe>

@ImmerTry 一个参考：

server {

# SSL 监听 443 端口

listen 443 ssl http2;
listen [::]:443 ssl http2;

#下面_换成你证书对应的域名
server_name _;

# SSL 的证书和 key 的路径
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;

location / {
#下面换成你们 http 的地址
proxy_pass http:xxxx.com;
#下面这些配置是修改 Header 的，你可以选择增加/删除或修改，部分情况下需要手动配置 host 等 header
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Forwarded $proxy_add_forwarded;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Port $server_port;
}
}

@ImmerTry #12 IP 地址也是可以签发 SSL 证书的，只是需要找一下，只有少部分 CA 支持

@caiqichang
@clf
感谢提供参考，我这就试试

@renfei 好的，我去搜索下

@ImmerTry #23 gdca 有 ip 证书 几百块一年 https://www.gdca.com.cn/

@renfei #9

对啊，所以说只在某些场景适用。。

letsencrypt 你值得拥有，自动续期

@ImmerTry ZeroSSL 可以签署 IP 地址证书，不过有效期只有九十天，可以作为无条件购买域名的备份方案。可以将这个方案作为不买域名的备选方案，不过考虑到 IP 地址证书不支持 ACME 自动化因此九十天签发一次的人力成本都高于域名钱了。教程可参考 https://www.landiannews.com/archives/93605.html

@honhon 嗯，买了域名就可以自动签 Let's Encrypt 证书了。政府网站都敢用的免费证书提供商。

@laozhoubuluo 感谢分享，准备着手试一下

@laozhoubuluo 你这说的 免费证书怎么了!

正经证书颁发机构，应该是客户端本机生成私钥和 csr ，将 csr 提交给证书机构，再将颁发的证书下载回来。
证书颁发机构全程接触不到客户私钥。

而国内很多证书颁发机构，自己服务器端产生私钥，把私钥和证书一起给客户下载，像这种证书颁发机构持有过私钥，才是最危险的。还喜欢臭不要脸的说免费的不安全！