Security面板里为什么显示混合内容警告?
我在本地开发一个 HTTPS 网站,但 Chrome DevTools 的 Security 面板一直提示“混合内容”警告,明明我所有资源都用的是相对路径啊。
我试过把图片和接口都改成 https,但还是报错。控制台没报错,但 Security 面板就是标红,搞得我很困惑。下面是我加载图片的代码:
const img = new Image();
img.src = '/assets/logo.png'; // 本地开发环境是 https://localhost:3000
document.body.appendChild(img);
- 2
回答
192浏览
为什么我的图片在Security面板显示Mixed Content警告?
我刚把网站部署到HTTPS服务器,但Chrome Security面板一直提示Mixed Content错误,显示我的图片资源用了HTTP链接。我明明把标签的src改成了https://开头的地址,为...
- 2
回答
49浏览
Security面板显示Mixed Content警告,但HTTPS配置没问题?
我在React项目里引用了HTTPS图片和CSS,但Chrome Security面板一直提示Mixed Content警告。明明检查过所有资源链接都是https://的,这是为什么? import ...
- 2
回答
76浏览
Security面板里为什么提示我的HTTPS页面有混合内容?
我在本地用 HTTPS 启动了一个开发服务器,页面也确实是通过 https://localhost:3000 加载的,但 Chrome DevTools 的 Security 面板一直报“Mixed ...
- 2
回答
61浏览
为什么我的Strict-Transport-Security头没有生效?
我在Nginx配置里加了Strict-Transport-Security: max-age=31536000;,但用在线工具检查发现这个头信息没出现。重启服务后还是没效果,配置文件放在server块...
- 1
回答
24浏览
Strict-Transport-Security 头怎么配置才生效?
我在 Nginx 里加了 Strict-Transport-Security 响应头,但浏览器好像没识别,是不是我写法有问题? 试过这样配: add_header Strict-Transport-S...
- 1
回答
25浏览
Security.txt 应该怎么在 React 项目里正确配置?
我最近在做前端安全加固,看到建议加个 security.txt 文件,但不太清楚怎么在 React 项目里配。试过直接放 public 目录下,但部署后访问 /security.txt 返回 404,...
- 2
回答
28浏览
security.txt 文件到底该放哪里才生效?
我最近在项目里加了个 /.well-known/security.txt,但用安全扫描工具检测时老是提示找不到。我试过放在根目录和 public 目录下,Nginx 也配了路由,但访问 /securi...
- 2
回答
51浏览
如何在Nginx的Content-Security-Policy中正确允许data:的CSS背景图片?
我在Nginx配置里启用了Content-Security-Policy头,但发现页面的CSS数据URI背景图被阻止了。尝试过在style-src里加了'data:'和'self',但还是报错“Blo...
- 2
回答
49浏览
Electron应用启用CSP后页面内容无法显示,如何排查原因?
我在Electron主进程设置了Content Security Policy后,页面突然变成空白,但控制台没报错。之前按照文档配置了:nodeIntegration: false和contextIs...
- 2
回答
76浏览
为什么我的CSS动画在Chrome渲染面板显示大量重排但实际很卡?
我在用Chrome DevTools的Rendering面板调试一个CSS动画,发现Layers里显示有很多蓝色的Layout区域,但实际动画在60帧时偶尔还是会卡顿。我用的是transform和op...
Chrome 的 Security 面板对证书检查很敏感。如果你用的是自签名证书或者所谓 的 "localhost" 内部证书,Chrome 会认为这个 HTTPS 根本不安全,相当于整个页面被标记为基础不安全模式,然后它就会把页面内所有资源都当作"可能混合内容"来处理,即使你用的是相对路径。
你可以打开 Security 面板,点那个红色的警告,看看具体提示什么。如果证书不信任的话,应该会显示 "main tab is not secure" 之类的。
解决方案有几个:
一个是让 Chrome 信任你的自签名证书,把证书添加到系统受信任根证书列表。不过 Mac 上操作有点麻烦。
另一个更省事——在 Chrome 启动参数里加
--allow-insecure-localhost,这样 Chrome 就不会因为自签名证书为难你了。还有一种情况是,你的页面里是不是引了第三方脚本或者 iframe?比如一些 CDN 的资源、统计代码之类的,这些很容易被忽略,但它们如果走 HTTP 就会触发混合内容警告。检查一下 network 面板,看看有没有哪个请求是 http 开头的。
你本地开发用的是什么?http-server -S 还是 webpack dev server?这类工具的证书配置有时候挺坑的。
先说一个很多人容易忽略的点:检查一下你的页面里有没有设置
如果没有 base 标签,打开 Network 面板,看看 logo.png 实际请求的 URL 到底是什么,看是不是真的走了 https。还有一种情况是 Chrome 扩展搞的鬼,有些插件会注入 http 资源到页面里,这种情况下 Security 面板也会报警,但控制台不会报错。
如果以上都不是,你可以试试把资源路径改成完整的带协议的 URL,比如
https://localhost:3000/assets/logo.png,虽然丑但能彻底排除协议问题。对了,你确定报警的就是这个 logo.png?有些时候是页面的其他资源(比如 iframe、websocket 连接)导致的,Security 面板显示的上下文需要看清楚。