服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 允许使用SSL和内容安全策略的活动混合内容(iframe)
Intereting Posts
networking服务器可怕的慢,有时难以置信的速度 Postfix和amavis在专用的服务器上 我如何确定在Linux上执行的search次数? Win2008 32和64位之间的区别? 帮助在Ubuntu的虚拟主机 如何在Fedora 23云中安装gui 403.16 – 客户端证书不可信或无效 – IIS 6 – Windows Server 2003 如何检测和防止postfix从泄露的邮件帐户泄露垃圾邮件 无法停止Ubuntu Lucid上的MariaDB 如何防止(几乎)所有使用IPtables的非VPN通信到Docker服务? IBM服务器需要很长时间才能启动UEFI到OS 在2008r2服务器上部署ssis 2012软件包 mod-rewrite:在多个目录中查找文件 Azure blob备份 Apache ProxyRequest简单testing?

允许使用SSL和内容安全策略的活动混合内容(iframe)

我已经在我的服务器上安装了SSL证书,并且已经制作了HTTPS 。 但是我需要加载embedded内容的现有iframe,通常是使用HTTP url保存的YouTubevideo,以及其他通过HTTPS不可用的内容。

upgrade-insecure-requests不是一个合适的解决scheme,因为如果无法通过HTTPS检索被动内容,而不定义Content-Security-Policy则被动内容不会被浏览器阻止。

为了使浏览器不阻止活动内容,我必须定义哪个策略?

您不能禁用站点级别的混合安全检查。 如果浏览器允许的话,这种行为将会提供虚假的安全感,并且失去对使用HTTPS的信任。

某些浏览器允许在每个安装的基础上禁用该设置。 例如,您可以通过更改设置来禁用Firefox中的检查 

 security.mixed_content.block_active_content

about:config

Chrome不明确允许,唯一的方法是点击加载 。 还值得一提的是,新版本的Chrome 不再显示交叉挂锁 ,相反,如果您加载任何HTTP内容,则Chrome将基本上将页面的安全性降级为HTTP。