這是我在 Chrome 中目睹的一個奇怪的現象。
幾天前我注意到我的部落格失去了它的風格。可能無法載入其樣式表或其他資源,對嗎?我幾年前就已經設定好了,直到最近它才可以正常工作。
我使用 Chrome 的 DevTools 進行調查,似乎加載https://evilcorp.blog.ram.rachum.com/css/fonts.css失敗。
我與虛擬主機的支援人員進行了交談,結果發現沒有配置 HTTPS 網站。經過更多調查,它從未配置為 HTTPS。
我再次查看了我部落格的 HTML 原始碼。它引用的字型檔是http://evilcorp.blog.ram.rachum.com/css/fonts.css,請注意缺少https.該鏈接確實有效。
我不明白為什麼 Chrome 在明確給出 HTTP URL 時嘗試載入 HTTPS 版本。這是新功能嗎?我能做些什麼?
答案1
您的部落格的網址為https://blog.ram.rachum.com/,因此這是一個 HTTPS 頁面。
當 HTTPS 頁麵包含 HTTP 內容時,即使主頁是透過 HTTPS 提供的,攻擊者也可以讀取或修改 HTTP 部分。當 HTTPS 頁面有 HTTP 內容時,其內容稱為「混合」。網頁僅部分加密,因為某些內容是透過 HTTP 未加密檢索的,因此被認為是不安全的。
如今,現代瀏覽器會將混合內容視為不安全內容,從而停用 HTTP 連結。
在 Chrome 中,您可以使用以下方法強制執行:
chrome.exe --allow-running-insecure-content
但你不能強迫你的用戶那樣運行 Chrome。
最好的解決方案是將您的頁面轉換為僅使用 HTTPS 連結。