移动端请求 HTTPS 接口为什么会失败?
我在开发一个移动端 H5 页面,调用后端的 HTTPS 接口时老是失败,控制台报错 net::ERR_CERT_AUTHORITY_INVALID。明明在 PC 浏览器上能正常访问,怎么一到手机上就不行了?
我试过用 iOS Safari 和安卓 Chrome 都有这个问题,证书是公司内网签的自签名证书,难道移动端对 HTTPS 的校验更严格?有没有办法绕过或者正确配置?
- 2
回答
18浏览
Charles抓包手机HTTPS请求失败怎么办?
我用Charles调试移动端接口,HTTP请求能正常抓到,但一换成HTTPS就显示SSL handshake failed。手机已经装了Charles的根证书,也信任了,iOS 16系统,设置里证书状...
- 1
回答
66浏览
Vue移动端HTTPS页面请求http接口导致Mixed Content错误怎么办?
我在开发Vue移动端应用时遇到了HTTPS问题,当页面切换到HTTPS后,调用本地测试接口时控制台报Mixed Content错误。尝试过在nginx配置强制HTTPS,但真机测试还是加载失败。 代码...
- 1
回答
5浏览
Charles抓包为什么看不到本地React开发的HTTPS请求?
我在用 create-react-app 搭建的项目里调用后端接口,本地启的是 https://localhost:3000,但 Charles 完全抓不到这些请求,明明代理已经开了,其他 HTTP ...
- 2
回答
53浏览
为什么我的HTTPS页面加载时显示Mixed Content错误?
我在开发一个HTTPS网站时,发现用JavaScript请求HTTP接口会报Mixed Content错误。明明服务器已经配置了SSL证书,为什么还是不行? 比如这个请求代码: fetch('...
- 2
回答
22浏览
为什么我的Charles配置好了却抓不到手机的HTTPS请求?
我按教程配置了Charles的HTTPS代理,手机也设置了代理并安装了证书,但访问App时请求还是显示“Connection refused”。/* 我在App的WebView里看到的错误样式 */ ...
- 2
回答
48浏览
React项目HTTPS部署后,为什么AJAX请求到http://api端点被阻止?
我在React项目里用fetch调用公司旧系统的API接口,开发环境用HTTPS没问题,但部署到HTTPS服务器后突然报错:"Mixed Content: The page was loaded ov...
- 1
回答
34浏览
启用HTTPS后CSS样式加载失败怎么办?
我最近给项目配置了HTTPS,但页面样式突然全乱了。检查发现CSS文件加载失败,控制台提示“Mixed Content错误”。我用了绝对路径引用CSS: /* style.css */ body { ...
- 1
回答
63浏览
Burp Suite配置HTTPS抓包一直拦截不到请求怎么办?
在用Burp测试网站时,配置了代理和安装CA证书后,HTTP请求能正常拦截,但HTTPS请求就是进不去拦截器,浏览器还提示证书不受信任。我试过清浏览器缓存、重装证书、换8080/8090端口都不行,B...
- 2
回答
46浏览
为什么我的HTTPS页面加载图片时出现Mixed Content错误?
最近在开发一个电商页面,把网站部署成HTTPS后,发现图片加载失败了。控制台提示:Mixed Content 错误,但图片路径明明写对了啊! 代码是这样写的:<img src="http://e...
- 1
回答
38浏览
Fiddler抓不到HTTPS请求的响应内容怎么办?
用Fiddler调试时发现,发给https://api.example.com的请求在会话里显示为空响应体,明明已经安装了证书。 我写了个测试页面用fetch调用接口:<pre class=&q...
ERR_CERT_AUTHORITY_INVALID。别想着绕过——比如 iOS 上点“仍要访问”这种临时方案,对 H5 页面完全没用,页面根本没机会加载,JS 也跑不起来,请求直接被系统拦截。
靠谱做法就两个:
第一个是让后端换正规证书。如果是对外服务的域名,直接用 Let’s Encrypt 免费证书,配置好后所有设备都能认。注意要配全链证书(包含 intermediate CA),不然有些老设备也认不了。
第二个是内网环境,把自签名证书的根证书(注意不是服务器证书本身)装到手机系统信任 store 里。iOS 要通过 MDM 或 Safari 扫码安装 .cer 文件后手动进设置信任;安卓不同厂商路径不一样,一般设置里“加密与凭据”或“信任的凭据”里装。装完记得重启浏览器,不然可能不生效。
顺便说一句,别用代码里硬编码跳过证书校验(比如 iOS 里用
NSAllowsArbitraryLoads或安卓用TrustAllCertsSocketFactory),虽然能通,但等于把 HTTPS 彻底废了,中间人随便都能劫持,防止注入都防不住,上线前被安全审计打回来是肯定的。真要赶时间调试,先用 Postman 或 curl 加
-k参数确认接口本身没问题,别把后端逻辑错误当成证书问题。ERR_CERT_AUTHORITY_INVALID这个错误说明证书链不被信任,移动端比 PC 更严格,不会弹出“继续访问”的按钮,直接就挂了。一般这样处理:
1. 把你的自签名证书换成正规 CA(比如阿里云、腾讯云、Let’s Encrypt)签的免费 DV 证书,最省事,移动端秒过;
2. 如果必须用内网自签名,那得把你的根证书(注意是根证书,不是服务器证书)安装到手机系统级信任库,安卓要手动装(设置里有“安装证书”选项),iOS 要通过描述文件或者扫码安装,装完还得去“设置-通用-关于本机-证书信任设置”里手动打开信任开关,iOS 13 以后这一步必须做;
3. 临时调试可以用 Charles 或 Fiddler 抓包,它们会自动在手机上安装中间人证书,但生产环境千万别这么干;
4. 还有个野路子:后端加个中间层,用合法域名反代你的接口,比如
api.yourdomain.com指向内网地址,这样前端只接触合法证书就行。别想着在前端跳过校验,H5 里根本没这权限,Native App 里虽然能配置
NSAppTransportSecurity或android:usesCleartextTraffic,但苹果审核基本过不了,而且不安全。总结:生产环境别用自签名,真要内网用,要么装证书要么反代。