ブラウザでLinuxのブロッキングブラウザリクエストアラートメソッド

Linuxシステムでは、ブラウザのページでhttpリクエストが許可されていないため、httpリクエストが発生するとエラーが発生し、Linuxシステムはユーザに警告します。この記事では、ブラウザページ上のhttpリクエストアラートをブロックするためのLinuxシステムを紹介します。

アラームコード

混在したコンテンツ：&lsquoのページ;のhttps：//www.taobao.com/&lsquoは、HTTPSでロードされますが、安全でない画像&lsquoを要求されました。のhttp：//G.alicdn.com/s.gif’。このコンテンツはまたHTTPS.HTTPS

変換した後、我々は多くのページで、次のアラームを見ることができます経由で提供されるべきではない：

多くのオペレータHTTPSへの技術的思想は、記入しますデータでは、httpリソースは避けられず、システムは巨大であり、過失や抜け穴は避けられません。

解決方法

CSP設定upgrade-insecure-requests

幸いなことに、W3CワーキンググループはHTTPSのアップグレードの難しさを検討していましたが、2015年4月にアップグレードが行われました。安全でない要求のドラフト、彼の役割はブラウザに自動的に要求をアップグレードさせることです。

サーバーの応答ヘッダーに追加します。

ヘッダー（Content-Security-Policy：upgrade-insecure-requests'）;

このページはhttpsです。このページには多数のhttpリソース（画像、iframeなど）が含まれていますが、上記のレスポンスヘッダーが含まれていることが判明すると、httpリソースが読み込まれると自動的にhttpsリクエストに置き換えられます。あなたは、Googleが提供デモ表示することができます。

をしかし、人々が理解することは、このリソースは、2つの要求を発行した投機は、ブラウザのバグを達成していることである。

私たちは、サーバー/nginxのに便利な操作でない場合は、もちろん、また、ページのメタ先頭に追加することができます。

「メタHTTP-当量='コンテンツセキュリティポリシー'コンテンツ='アップグレード-insecure-要求現在この設定ではchrome 43.0しかサポートされていませんが、CSPが将来のWebフロントエンドセキュリティの中心になると私は信じています。 upgrade-insecure-requestsドラフトはすぐにRFCモデルに入ります。

W3Cワーキンググループの例によると、この設定は外部ドメインのリンクを処理しないので、安心して使用できます。

これらは、実用的なアプリケーションのhttpリクエストを簡単にページに表示されますので、ブラウザのページhttpリクエスト警告にシールドする方法を紹介し、Linuxシステムなので、あなたが遮蔽していない場合、アラームがそこに滞在します、ユーザーエクスペリエンスへのさらなる影響