程式狂想筆記

一個攻城師奮鬥史

0%

CSP 網頁安全性設計

最近把一個專案上到測試環境,明明網站是 http 環境,但是裡面網址竟然顯示 https,我查看原始碼也沒強制加 https,也沒有用<base>改變程式基本位置。

發生原因

網頁吃不到CSS,用開發者工具看網路擷取到 JS、CSS都抓到404,發現導向內容為 HTTPS,程式碼都沒有做任何調整設定。




CSP upgrade-insecure-requests

1
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

首先是這一段影響的,可以看在https中使用http - iT 邦幫忙::一起幫忙解決難題,拯救 IT 人的一天文章有講到,只要拔掉就能解決這個問題。目前我發現 localhost,127.0.0.1 不會強制導向 https,不過文章沒有找到相關說明。

假如網站要調 https,網站在不改後端情況下,可以 workaround 設定這個,所有連線都會走 https。

參考: