HTTPS改造之後,我們可以在很多頁面中看到如下警報:
很多運營對 https 沒有技術概念,在填入的數據中不免出現 http 的資源,體系龐大,出現疏忽和漏洞也是不可避免的。
CSP設置upgrade-insecure-requests
header("Content-Security-Policy: upgrade-insecure-requests");
我們的頁面是 https 的,而這個頁面中包含了大量的 http 資源(圖片、iframe等),頁面一旦發現存在上述響應頭,會在加載 http 資源時自動替換成 https 請求。
當然,如果我們不方便在服務器/Nginx 上操作,也可以在頁面中加入meta
頭:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />