(1)強制升級http 靜態資源地址為https地址
https頁面中不能使用http請求,http頁面中可以使用https請求。
關於在https 頁面有一些http的請求,可以在<head></head>中設置
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
來自動升級http到https,就不需要修改源代碼了。
如果有些瀏覽器不支持,可以設置
php
header("Content-Security-Policy: upgrade-insecure-requests");
jsp
如jsp頁面<head></head>標簽中可以這樣設置
<%response.setHeader("Content-Security-Policy","upgrade-insecure-requests");%>
注意:只針對靜態資源 如<script src=""> ,<img src="">, <link href="" rel="stylesheet"> , <iframe src=""></iframe> , ajax請求 ,等
對於<a href=""> <script> window.location.href=""</script>不起作用
(2) https 頁面超鏈接,及iframe 地址為http的問題
https頁面可以直接跳轉到 http頁面。
如果一個https頁面中包含一個iframe,則此iframe的src不能為http地址
如果一個 https頁面加載的一個iframe 頁面中,包含一個http超鏈接,則此超鏈接必須加上 target="_blank",此時會在新的頁面打開。如果target="_self"則不會跳轉。
(3)https頁面中不能使用http的ajax地址,
可以使用(1)中代碼自動升級http到https