文档章节

记一次 HTTPS升级

谢雨齐
 谢雨齐
发布于 2017/01/10 10:36
字数 364
阅读 33
收藏 0
CSP

最近遇到一份旧站升级HTTPS的工作,原因自然是提高网站安全性咯,配合移动部门完成苹果的ATS要求,再这个过程中遇到一个问题。

  • http页面加载https资源的问题

        想来这个应该是不会有问题的,于是乎调试,费了劲地调试,找前端同事废了劲地调试,抓到如下日志:

Refused to load the script 'https://localhost/cnews/js/ntes_jslib_1.x.js' because it violates the following Content Security Policy directive: "default-src 'self' 'unsafe-eval' 'unsafe-inline'  api.map.baidu.com *.nosdn.127.net echarts.baidu.com *.map.bdimg.com". Note that 'script-src' was not explicitly set, so 'default-src' is used as a fallback.

    想来不应该啊,求助,搜索,再求助,终于还是自己找到了所以然,原来前端同事为了提高网页的安全性(为了防止XSS)加了CSP(Content-Security-Policy)头,即:

<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-eval' 'unsafe-inline' api.map.baidu.com *.nosdn.127.net echarts.baidu.com *.map.bdimg.com" />

    遂搜索其语法,在 https://imququ.com/post/content-security-policy-reference.html 找到所以然,在信任列表中加入https: 即可。

    各浏览器对CSP的支持如下:http://caniuse.com/#feat=contentsecuritypolicy

    另其它同事给予建议,所有静态资源去掉协议也可以,即

<link rel="stylesheet" type="text/css" href="//img2.cache.netease.com/f2e/house/estate_touch/css/common.1016964.css"/>
  • https页面加载http资源的问题

        这个我想在升级HTTPS的时候都会遇到,将静态资源文件都升级为HTTPS就好了。

  •  ATS检测网站

      https://www.qcloud.com/product/ssl#userDefined10

© 著作权归作者所有

共有 人打赏支持
谢雨齐
粉丝 0
博文 15
码字总数 2188
作品 0
东城
程序员
私信 提问
升级HTTP2、nginx1.12、openssl1.0.2

记一次全面升级网站HTTPHTTP---HTTPS---HTTP2nginx1.6---1.12openssl1.0.1---1.0.2 HTTP2必须是openssl1.0.2open1.0.2也要对应升级nginx1.12 升级openssl1.0.2下载最新版wget https://www.op......

kevinzhang91
2017/12/25
0
0
记NG4 迁移到 NG6 的一次实践

记NG4 迁移到 NG6 的一次实践 node >= 8.9.0$ npm -vnpm >= 5.6.0 $ npm uninstall -g @angular/cli // 卸载旧版本cli。$ npm cache clean // 清除缓存,确保卸载干净// 安装当前最新版本cli......

Arabic男孩纸
10/24
0
0
记一次ASP.NET MVC4 升级到MVC5的小问题解决

原文:记一次ASP.NET MVC4 升级到MVC5的小问题解决 .NET 4.0 MVC4版本,升级到.NET 4.6.1 MVC5: 1.使用nuget更新所有 与mvc相关的类库; 2.更改~/Views/web.config(如果有Area,Area下面的web.c...

杰克.陈
2017/12/06
0
0
升级High Sierra惊魂记

之前也升级过很多次操作系统,但从来没有这一次这样不顺利,记下来,也许能帮到遇到类似问题的朋友。 催化剂 催化剂,又称触媒,是能透过提供另一活化能较低的反应途径而加快化学反应速率,而...

张京
2017/10/14
0
0
记一次线上处理的用户反馈

今天突然有用户反馈各个端都不能使用我们的产品了,出于经验,应该是和最近的一次上线有关,最近的一次上线是升级java版本,1.6->1.8。 按照用户反馈,立刻去线上grep各个机器这个用户的错误...

selfless
2016/07/31
23
0

没有更多内容

加载失败,请刷新页面

加载更多

二十分钟教你如何将区块链应用与函数计算相结合

前言 本篇文章适合对区块链应用感兴趣或是想要通过函数计算服务进一步开发区块链应用的新人。本文将结合阿里云区块链服务、阿里云函数计算服务、阿里云日志服务 以及社区应用 Marbles,手把手...

阿里云官方博客
7分钟前
1
0
Double数相加后结果不准确

在我们进行两个double运算时,例如:2..0-1.1 不是想象的输出0.9,而是0.89999999999999999。其主要原因是浮点数值采用二进制系统表示,而在二进制系统中无法精确的表示分数1/10。这就好像十...

嘴角轻扬30
15分钟前
1
0
去除移动端点击效果

移动端点击时,会有一个类似active的短暂背景淡出效果,去除该效果可使用 -webkit-tap-highlight-color: rgba(255, 0, 0, 0);

originDu
16分钟前
1
0
腾讯云与MariaDB 基金会签署战略合作,共建全球开源生态圈

本文由云+社区发表 腾讯云日前与MariaDB基金会正式签署战略合作协议,2019年,腾讯云将继续以白金会员身份为基金会的发展提供强有力的资源支持,与MariaDB全球用户和开发者一道,共建开放共赢...

腾讯云加社区
21分钟前
1
0
Kotlin的SAM(Single Abstract Method)

今天有人在群里问kotlin支持SAM的问题,其实kotlin不支持SAM,因为人家支持FP(function programing) package reactinterface Test { fun print()}class TestInterface(var...

SuShine
22分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部