程式狂想筆記
首頁 文章 標籤 分類 好站連結
程式狂想筆記

Contents

CSP 網頁安全性設計

 included in 源碼掃描
   48 words   One minute 

最近把一個專案上到測試環境,明明網站是 http 環境,但是裡面網址竟然顯示 https,我查看原始碼也沒強制加 https,也沒有用<base>改變程式基本位置。

發生原因

網頁吃不到CSS,用開發者工具看網路擷取到 JS、CSS都抓到404,發現導向內容為 HTTPS,程式碼都沒有做任何調整設定。

https://i.imgur.com/sgOYMF8.png
https://i.imgur.com/Uzg118R.png
https://i.imgur.com/IHGKdIw.png
https://i.imgur.com/XNStivs.png

CSP upgrade-insecure-requests

1

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

首先是這一段影響的,可以看在https中使用http - iT 邦幫忙::一起幫忙解決難題,拯救 IT 人的一天文章有講到,只要拔掉就能解決這個問題。目前我發現 localhost,127.0.0.1 不會強制導向 https,不過文章沒有找到相關說明。

假如網站要調 https,網站在不改後端情況下,可以 workaround 設定這個,所有連線都會走 https。

參考:

Updated on 2022-07-30
 Csp
Back | Home