前端怎么安全地管理 HTTPS 证书?
我在本地开发一个 React 应用,需要调用后端的 HTTPS 接口,但每次启动 dev server 都提示证书不被信任。我试过用 mkcert 生成本地 CA 和证书,也配到了 webpack-dev-server,但浏览器还是报 NET::ERR_CERT_AUTHORITY_INVALID。
是不是我配置错了?下面是我的 webpack 配置片段:
devServer: {
https: {
key: fs.readFileSync('localhost-key.pem'),
cert: fs.readFileSync('localhost.pem'),
},
host: 'localhost',
}- 2
回答
53浏览
HTTPS到底是怎么保证数据安全的?
我最近在做前端项目,发现有些接口必须用HTTPS才能调通,但不太明白它底层是怎么加密的。HTTP明明也能传数据,为啥HTTPS就更安全? 我看浏览器地址栏有个小锁图标,点进去说用了TLS协议,但我还是...
- 2
回答
88浏览
HTTPS到底是怎么保证数据安全的?
最近在做登录功能,发现本地开发用的是HTTP,但上线后必须用HTTPS。我大概知道HTTPS是加密的,但具体怎么加密、什么时候加密、证书又起什么作用,完全搞不清楚。 比如我发个请求:fetch('/a...
- 1
回答
38浏览
Nginx配置HTTPS后页面加载不安全资源怎么办?
我用Let's Encrypt给Nginx配了HTTPS,但网页里有些图片和脚本还是HTTP的,浏览器直接报“混合内容”错误,页面功能都乱了。 试过在Nginx里加add_header Content...
- 2
回答
33浏览
前端请求 HTTPS 接口时为啥还会报不安全内容?
我本地开发时用的 HTTP 协议,但调用的是公司测试环境的 HTTPS 接口,结果浏览器控制台一直提示“混合内容:页面通过 HTTPS 加载,但请求了不安全的资源”。可我明明写的是 https 啊,是...
- 2
回答
68浏览
移动端HTTPS跳转后子页面显示证书错误怎么办?
我在开发电商小程序时遇到个奇怪的问题,主域名已经配置了HTTPS,但跳转到支付页面时浏览器突然提示NET::ERR_CERT_COMMON_NAME_INVALID。 支付页面是单独的子域名pay.e...
- 2
回答
95浏览
Burp Suite配置HTTPS抓包一直拦截不到请求怎么办?
在用Burp测试网站时,配置了代理和安装CA证书后,HTTP请求能正常拦截,但HTTPS请求就是进不去拦截器,浏览器还提示证书不受信任。我试过清浏览器缓存、重装证书、换8080/8090端口都不行,B...
- 1
回答
66浏览
为什么本地 HTTPS 接口请求会被浏览器拦截?
我在本地用 Node.js 搭了个 HTTPS 服务,证书是自签名的,浏览器访问时点了“高级”→“继续前往”能打开页面。但页面里用 fetch 请求同一个域名的 API 时,却直接报错说不安全,连提示...
- 2
回答
37浏览
支付宝小程序里怎么正确调用 my.request 发起 HTTPS 请求?
我在支付宝小程序里用 my.request 发请求,但总是报“不支持的协议”错误,明明 URL 是 https 开头的啊? 试过加 header、检查域名白名单,也确认后台开启了 HTTPS,但还是不...
- 1
回答
56浏览
Fiddler抓不到HTTPS请求怎么办?
我用 Fiddler 想抓本地开发环境的 HTTPS 接口,但完全看不到请求,HTTP 的能正常抓到。已经点了 Tools > Options > HTTPS 里的 Decrypt HTT...
- 2
回答
43浏览
HTTPS对SEO真的有帮助吗?怎么配置才不会出问题?
我最近在优化网站的SEO,听说HTTPS是Google排名的一个因素,但我不太确定具体影响有多大。 现在我的网站还是HTTP的,想升级到HTTPS,但又担心配置错了反而影响收录。比如我用的是Nginx...
你需要在系统层面信任 mkcert 生成的 CA 证书。mkcert -install 这个命令就是干这个的,它会把 CA 证书添加到系统信任列表。
先确认一下你之前有没有运行过这个命令。如果没有,运行一下:
在 macOS 上:
在 Windows 上用管理员权限运行 PowerShell 执行同样的命令。
如果已经运行过但还是不行,可能是浏览器有自己独立的证书存储。Chrome 和 Firefox 有时会有缓存或者使用自己的信任库,这种情况下可以试试:
1. 重启浏览器
2. 清除浏览器缓存
3. 在 Chrome 中访问那个 HTTPS 链接时,点击高级,然后点击“继续访问 localhost(不安全)”,这会临时信任一次
长期方案是确保 CA 确实被系统信任。macOS 上可以打开钥匙串访问,搜索 "mkcert" 或者 "localhost",确认那个 CA 证书的信任设置是“始终信任”。
还有一个小坑:如果你用的是 Chrome,访问的时候用 localhost 而不是 127.0.0.1,因为 Chrome 对 localhost 有特殊处理,有时候用 IP 地址反而会触发证书验证。
官方文档里说 mkcert -install 会自动处理系统信任,但如果你的开发环境有特殊的安全策略(比如公司配的 Mac 有限制),可能需要手动在系统偏好设置里导入证书。
首先确保你执行过mkcert安装本地CA的命令:
然后检查下证书是不是用这个CA签发的:
你的webpack配置看起来没问题,问题出在浏览器信任链。不同系统处理方式不一样:
Windows下双击CA证书安装到受信任的根证书颁发机构
MacOS用钥匙串访问把CA证书拖到系统钥匙串,然后手动设置信任
最骚的是Chrome有时候会抽风,试试这几个操作:
1. 完全关闭所有Chrome进程再开
2. chrome://flags里搜索"Allow invalid certificates"确保没开
3. 清空浏览器缓存
如果还不行,可以临时用这个参数启动Chrome(不推荐长期用):
我一般用mkcert从来没翻车过,你这种情况大概率是CA证书没装对位置。实在不行就换个浏览器试试,Firefox对本地证书管理更友好些。