https和http显示混合内容
如果网站原本是http传输,在部署成https传输后,一不小心就会出现如下的安全提示:
“This page contains both secure and non secure items. Do you want to display non-secure items?”
或者
“此网站包含的内容将不使用安全的https连接传送,可能危及到整个网页的安全”
可能引起这个warning的原因,简单归纳来说,不外乎是以下几点:
1) hard-code了http(或其它非https)的URL访问
这是一个比较常见的问题,一般来说都不要在WEB页面中硬编码URL,可以采用相对URL。 但是也分情况:
<%String path = request.getContextPath()+"/images/logo.gif";%>
<img src="http://www.xxx.com/images/logo.gif"/>
<img src="<%=path%>"/>
上面这两个img中,第一个img会提示警告,而第二个img不会提示警告。
网页中带Object的,如最多使用的flash:
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"
codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=7,0,19,0" width="549" height="130">
<param name="movie" value="<%=path%>/images/CNYSWF.swf" />
<param name="wmode" value="transparent" />
<embed src="<%=path%>/images/CNYSWF.swf" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" width="549" height="130"></embed>
</object>
不过这样的代码可以有避免措施,那就是将flash所对应的这个CAB手动部署在自己的网站上,提供https连接。
2) WEB页面中含有没有设置SRC属性的iframe元素
这个也比较常见,解决也很容易,可以给每个空的iframe设置SRC属性,这个src可以指向一个空的html页面,或是采用src="javascript:void()"这种方式。
注意,这个问题,在IE6下出现,IE8下不会出现。7和9没测试。
3) 调用removeChild()方法去移除一个HTML元素,而这个元素包含一个backgroundImage背景图片的style引用
这个严格来说,应该是IE的一个bug,可以在Microsoft官方网站上找到这个问题的描述和解决方案。不过即使是最新的IE8, 这个问题好像依然存在。
http://support.microsoft.com/kb/925014
4) 调用innerHTML()方法给一个HTML元素添加内容,之后再把这个元素添加到HTML DOM中
这个问题可能在一些Ajax应用中会碰到,通过Ajax动态更新HTML内容,如果内容包含image图片等等内容,也会弹出这个warning。
当然,如果想通过修改IE的选项来显示https和http混合内容,则在安全-〉自定义级的,“显示混合内容”,选择“启用”。
以上内容引自网络