1

如果我通过 HTTPS 加载https://example.org包含对 HTTP 资源的引用的页面,例如

 <script src="http://example.org/script.js"></script>

我了解浏览器拒绝加载脚本,除非它是src="https://example.org/script.js".

我的问题是,如果我从to实现 301 重定向,浏览器会遵循重定向并通过 HTTPS 加载脚本,还是仍会拒绝加载它?http://example.org/script.jshttps://example.org/script.js

4

1 回答 1

4

我相信阻止混合内容的浏览器仍然会阻止来自 HTTP->HTTPS 重定向的脚本。

他们当然应该这样做,因为它不安全。攻击者可能已经拦截了 HTTP 请求并将其更改为重定向到一个 HTTPS 地址,该地址不是引用脚本的页面。

于 2015-01-14T11:48:24.243 回答