Вот любопытное явление, которое я наблюдал в Chrome.
Пару дней назад я заметил, чтомой блогпотерял свой стиль. Вероятно, не может загрузить свою таблицу стилей или другие ресурсы, верно? Я настроил его много лет назад, и он работал до недавнего времени.
Я использовал DevTools в Chrome для исследования и, похоже, загрузка https://evilcorp.blog.ram.rachum.com/css/fonts.cssне удалась.
Я поговорил с поддержкой моего веб-хостинга, и оказалось, что ни один сайт HTTPS не настроен. После дальнейшего расследования выяснилось, что он никогда не был настроен на HTTPS.
Я снова посмотрел на исходный HTML-код моего блога. Файл шрифтов, на который он ссылается, — http://evilcorp.blog.ram.rachum.com/css/fonts.css, обратите внимание на отсутствие https. Эта ссылка работает.
Я не могу понять, почему Chrome пытается загрузить версию HTTPS, когда ему явно был указан URL HTTP. Это новая функция? Что я могу сделать?
решение1
Ваш блог имеет адрес https://blog.ram.rachum.com/, поэтому это страница HTTPS.
Когда страница HTTPS включает в себя HTTP-контент, HTTP-часть может быть прочитана или изменена злоумышленниками, даже если главная страница обслуживается по HTTPS. Когда страница HTTPS имеет HTTP-контент, ее контент называется «смешанным». Веб-страница зашифрована лишь частично, поскольку часть контента извлекается незашифрованным по HTTP, поэтому считается небезопасной.
Современные браузеры блокируют смешанный контент как небезопасный, фактически отключая HTTP-ссылки.
В Chrome вы можете принудительно выполнить это с помощью:
chrome.exe --allow-running-insecure-content
но вы не можете заставить своих пользователей использовать Chrome таким образом.
Лучшим решением будет перевести вашу страницу на использование только HTTPS-ссылок.