Contenuto misto: il foglio di stile è bloccato a causa di un parametro querystring?

Naviga le tue risposte
0

Mi sono appena imbattuto in uno scenario in cui un foglio di stile veniva bloccato su una pagina di pagamento sicura.

Il foglio di stile è stato caricato in questo modo: 

<link href="/CSS/all.min.css?v=2" rel="stylesheet" type="text/css" />

Stavo ricevendo un errore nella console di chrome dev:

Mixed Content: The page at https://www.example.com/secure/checkout.aspx was loaded over HTTPS, but requested an insecure stylesheet http://www.example.com/CSS/all.min.css?v=2. This request has been blocked; the content must be served over HTTPS.

Ho avuto l'impressione che l'utilizzo di percorsi relativi (all.min.css è servito localmente) assicurasse che il contenuto venga servito sotto il protocollo della pagina richiesta, in questo caso https , ma ovviamente non stava accadendo .

Ho provato alcune cose per far funzionare di nuovo il CSS come usare il percorso completo del file insieme a https che non ha funzionato e, per un capriccio, ho deciso di rimuovere la stringa di query 'cache buster' ?v=2 e il CSS è stato pubblicato bene.

Detto questo, non ho idea del motivo per cui questo ha funzionato, ero inconsapevole che l'utilizzo di una stringa di query quando si fa riferimento a un file ne impedisse il caricamento sicuro, qualcuno potrebbe spiegarne i motivi?

Edit *

Puoi verificarlo da solo, ecco i due link:

Si noti l'interruttore di protocollo nel secondo link?

Pensi che questo potrebbe avere qualcosa a che fare con lo SSL che usa ancora SHA1? Un aumento delle misure di sicurezza imposte dal browser? Ho notato che ciò non accade in IE ma in Chrome / FF, la risorsa è bloccata.

    
posta DGibbs 26.11.2014 - 18:16
fonte

1 risposta

2

Si tratta di un problema di configurazione del server. No, non so perché il tuo server è configurato per farlo, dato che in genere è una cattiva idea.

Usando il mio strumento di diagnostica HTTP generico, wget , per recuperare https://www.w1office.com/CSS/all.min.css , ottengo: 

Connecting to www.w1office.com|91.151.215.29|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 41241 (40K) [text/css]

D'altra parte, quando richiamo https://www.w1office.com/CSS/all.min.css?v=2 , il risultato è: 

Connecting to www.w1office.com|91.151.215.29|:443... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://www.w1office.com/CSS/all.min.css?v=2

Quando viene utilizzata la stringa di query, il server risponde con un reindirizzamento HTTP a un indirizzo non sicuro.

    
risposta data 27.11.2014 - 10:34
fonte

Leggi altre domande sui tag

C'è un modo per bloccare in modo sicuro un sito Web su un Iphone? Quanta sicurezza avrei perso se abilitassi i pin "easy enter" su un dispositivo Android?