解决网页中Mixed Content问题

在Web开发中，作为开发者我们无可避免地需要引入资源文件，或者需要发起Ajax请求。在这个过程中，浏览器的开发者工具有时候会提醒我们当前网页中存在 Mixed Content，如图所示：

上图中显示的是警告信息，而资源还是被浏览器成功引入了，所以不是特别大的问题。

而如果出现了如下报错信息，则情况则没那么乐观了：

红色报错信息告诉我们资源加载失败了，它们不会被浏览器加载并处理。当发生这种情况时，意味着你的网站或者Web应用不能正常运行了，必须马上处理。

什么是Mixed Content？

Mixed Content（混合内容）出现于如下场景：HTML页面是通过HTTPS加载的，但是其他资源文件（如图片，视频，样式表文件，脚本）是使用HTTP方式加载的。之所以称为混合内容，是因为在一个网页中同时使用了HTTP和HTTPS，而最初的请求方式为 HTTPS。

现代浏览器可能会阻止此类内容，或者显示关于此类内容的警告，提醒用户此页面包含不安全的内容。阻止混合内容的浏览器可能会首先尝试将该内容的连接从HTTP “升级”到HTTPS。

Mixed Content 分类

混合内容可以划分为两种：主动混合内容和被动混合内容

被动混合内容指的是不与页面其余部分进行交互的内容，从而使中间人攻击在拦截或更改该内容时能够执行的操作受限。被动混合内容包括图像、视频和音频内容，以及无法与页面其余部分进行交互的其他资源。

例如：

img 标签的 src 属性

audio 标签的 src 属性

video 标签的 src 属性

object 标签

主动混合内容作为整体与页面进行交互，并且几乎允许攻击者对页面进行任何操作。 主动混合内容包括浏览器可下载和执行的脚本、样式表、iframe、flash 资源及其他代码。

例如：

script 标签的 src 属性

link 标签的 href 属性

iframe 的 src 属性

XMLHttpRequest 请求

fetch() 请求

在CSS中可以使用url的情况（如 @font-face,cursor,background-image等）

object 标签的 data 属性

navigator.sendBeacon() 请求

如何解决混合内容问题？

借助于现代浏览器的开发者工具，我们可以快速定位出有问题的混合内容。例如，在Chrome浏览器中打开开发者工具，然后切换到 Console 即可看到页面中的警告或者报错信息。

在找出混合内容在网站源代码中的位置后，按照下面的步骤进行修正。

将 Chrome 中的以下混合内容错误用作示例：

下面是在源代码中找到的内容：

第 1 步

通过在您的浏览器中打开一个新标签，在地址栏中输入网址，然后将 http:// 更改为 https://，检查该网址是否可通过 HTTPS 提供。

如果通过 HTTP和 HTTPS 显示的资源相同，则一切正常。 继续执行第 2 步。

如果您看到证书警告，或内容无法通过 HTTPS显示，则意味着无法安全地获取资源。

这种情况下，你应考虑以下其中一个方案：

1.从另一个主机添加此资源文件。

2.在你自己的网站存放该资源文件。

3.将此资源从网站上完全删除。

第 2 步

将网址从 http:// 更改为 https://，保存源文件，并在必要时重新部署更新文件。

第 3 步

查看最初发现错误的页面，验证并确保该错误不再出现。