Hier ist ein merkwürdiges Phänomen, das ich in Chrome beobachtet habe.
Vor ein paar Tagen fiel mir auf, dassmein Bloghat sein Styling verloren. Wahrscheinlich kann ich sein Stylesheet oder andere Ressourcen nicht laden, oder? Ich habe es vor Jahren eingerichtet und bis vor Kurzem hat es funktioniert.
Ich habe zur Untersuchung die DevTools von Chrome verwendet und es scheint, dass das Laden https://evilcorp.blog.ram.rachum.com/css/fonts.cssfehlschlägt.
Ich habe mit dem Support meines Webhosts gesprochen und es stellte sich heraus, dass keine HTTPS-Site konfiguriert ist. Nach weiteren Untersuchungen stellte sich heraus, dass HTTPS nie konfiguriert war.
Ich habe mir den HTML-Quellcode meines Blogs noch einmal angesehen. Die Schriftartdatei, auf die verwiesen wird, ist . http://evilcorp.blog.ram.rachum.com/css/fonts.cssBeachten Sie, dass fehlt https. Der Link funktioniert.
Ich verstehe nicht, warum Chrome versucht, die HTTPS-Version zu laden, wenn ihm explizit eine HTTP-URL zugewiesen wurde. Ist das eine neue Funktion? Was kann ich tun?
Antwort1
Ihr Blog hat als Adresse https://blog.ram.rachum.com/, sodass dies eine HTTPS-Seite ist.
Wenn eine HTTPS-Seite HTTP-Inhalte enthält, kann der HTTP-Teil von Angreifern gelesen oder geändert werden, auch wenn die Hauptseite über HTTPS bereitgestellt wird. Wenn eine HTTPS-Seite HTTP-Inhalte enthält, wird ihr Inhalt als „gemischt“ bezeichnet. Die Webseite ist nur teilweise verschlüsselt, da ein Teil des Inhalts unverschlüsselt über HTTP abgerufen wird und gilt daher als unsicher.
Moderne Browser blockieren heutzutage gemischte Inhalte als unsicher und deaktivieren damit faktisch HTTP-Links.
In Chrome können Sie dies mit folgendem Befehl erzwingen:
chrome.exe --allow-running-insecure-content
aber Sie können Ihre Benutzer nicht zwingen, Chrome auf diese Weise auszuführen.
Die beste Lösung besteht darin, Ihre Seite so umzustellen, dass nur noch HTTPS-Links verwendet werden.