Чому у мене несподівано виникає проблема "Заблоковано завантаження змішаного активного вмісту" у Firefox?

Сьогодні вранці, оновивши браузер Firefox до останньої версії (з 22 до 23), деякі ключові аспекти мого бек-офісу (веб-сайту) перестали працювати.

Переглядаючи журнал Firebug, повідомлялося про наступні помилки:

Blocked loading mixed active content "http://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css"
Blocked loading mixed active content "http://ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"`

серед інших помилок, спричинених тим, що останні з двох вище не завантажуються.

Що означає вищезазначене і як це можна вирішити?

Я знайшов цю публікацію в блозі, яка прояснила кілька речей. Процитуйте найбільш релевантний біт:

Змішаний активний вміст тепер заблоковано за замовчуванням у Firefox 23!

Що таке змішаний контент?
Коли користувач відвідує сторінку, що обслуговується через HTTP, їх з'єднання відкрите для підслуховування та атаки "посеред" (MITM). Коли користувач відвідує сторінку, що обслуговується через HTTPS, їх з'єднання з веб-сервером засвідчується автентифікацією та шифрується за допомогою SSL і, таким чином, захищається від підслуховування та MITM-атак.

Однак якщо сторінка HTTPS містить вміст HTTP, частина HTTP може зчитуватися чи змінюватися зловмисниками, навіть якщо головна сторінка подається через HTTPS. Коли на сторінці HTTPS є вміст HTTP, ми називаємо цей вміст «змішаним». Веб-сторінка, яку відвідує відвідувач, зашифрована лише частково, оскільки частина вмісту отримується нешифрованою через HTTP. Блок-змішаний контент блокує певні запити HTTP на сторінках HTTPS.

У моєму випадку резолюція полягала в тому, щоб просто переконатися, що jqueryвключення було таким (зверніть увагу на видалення протоколу):

<link rel="stylesheet" href="https://stackoverflow.com//code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css" type="text/css">
<script type="text/javascript" src="//ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"></script>

Зауважте, що тимчасове "виправлення" - це натиснути на значок "щит" у верхньому лівому куті адресного рядка та вибрати "Вимкнути захист на цій сторінці", хоча це не рекомендується з зрозумілих причин.

ОНОВЛЕННЯ: Це посилання зі сторінок підтримки Firefox (Mozilla) також корисне для пояснення того, що становить змішаний вміст, і, як зазначено у вищевказаному абзаці, насправді надається детальна інформація про відображення сторінки незалежно від:

Більшість веб-сайтів продовжуватимуть працювати нормально без жодних дій з вашого боку.

Якщо вам потрібно дозволити показ змішаного вмісту, ви можете це легко зробити:

Клацніть на піктограмі екрана Змішаний вміст щита в адресному рядку та виберіть Відключити захист на цій сторінці зі спадного меню.

Піктограма в адресному рядку зміниться на помаранчевий трикутник попереджувальної іконки попередження, щоб нагадати, що відображається незахищений вміст.

Щоб відновити попередню дію (повторно заблокувати змішаний вміст), просто перезавантажте сторінку.

Це означає, що ви телефонуєте http з https. Ви можете використовувати src="//url.to/script.js"тег сценарію, і він автоматично виявить.

Крім того, ви можете використовувати https у своїй, srcнавіть якщо ви будете публікувати його на http-сторінці. Це дозволить уникнути потенційного питання, згаданого в коментарях.

За відсутності функції білого списку ви повинні зробити вибір "все" або "нічого". Ви можете повністю відключити блокування змішаного вмісту.

Нічого вибору

Вам потрібно буде назавжди вимкнути блокування змішаного вмісту для поточного активного профілю.

У "Awesome Bar" введіть "about: config". Якщо це ваш перший раз, ви отримаєте "Це може втратити гарантію!" повідомлення.

Так, ви будете обережні. Так, ви обіцяєте!

Знайдіть security.mixed_content.block_active_content . Встановіть значення значення false .

Всі вибори

Відповідь iDevelApp є приголомшливою.

Помістіть нижче <meta>тег у <head>розділ документа, щоб змусити браузер замінити незахищені з'єднання (http) на захищені з'єднання (https). Це може вирішити проблему змішаного вмісту, якщо з'єднання може використовувати https.

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Якщо ви хочете заблокувати, то додайте нижче тег у <head> тег:

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

Якщо ви використовуєте внутрішню послугу через AJAX, переконайтеся, що URL-адреса вказує на https, це усунуло помилку для мене.

Початкова URL-адреса AJAX: " http://XXXXXX.com/Core.svc/ " + ApiName
виправлена ​​URL-адреса AJAX: " https://XXXXXX.com/Core.svc/ " + ApiName,

Його з огляду на помилку через безпеку. для цього будь ласка, використовуйте "https", а не "http" в URL-адресі веб-сайту.

Наприклад :

   "https://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css"
   "https://ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"

На відповідній сторінці, яка робить змішаний контент https до http-дзвінка, який недоступний, ми можемо додати наступний запис у відповідній та позбутися помилки змішаного вмісту.

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

У мене була ця сама проблема, тому що я купив шаблон CSS, і він схопив javascript зовнішній файл JavaScript через http://whatever.js.com/javascript.js. Я перейшов на цю сторінку в своєму браузері, а потім змінив її на https://whatever...SSL, і вона спрацювала, тому в моєму тезі JavaScript JavaScript я просто змінив URL-адресу, яку слід використовувати httpsзамість, httpі вона працювала.

Щоб примусити перенаправлення на протокол https, ви також можете додати цю директиву в .htaccess у кореневій папці

RewriteEngine on

RewriteCond %{REQUEST_SCHEME} =http

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

@Blender Коментар - найкращий підхід. Ніколи не важко кодуйте протокол де-небудь в коді, оскільки це буде важко змінити, якщо ви переходите з пункту httpдо https. Оскільки вам потрібно вручну редагувати та оновлювати всі файли.

Це завжди краще, оскільки воно автоматично визначає протокол.

src="//code.jquery.com

Я виявив, що у вас є проблеми з включенням або змішуванням вашої сторінки з чимось на зразок http : //www.example.com, ви можете виправити це, замість цього // www .example.com

Я зіткнувся з тією ж проблемою, коли мій сайт переходить від http до https. Ми додали правило для всіх запитів на переадресацію http на https.

Вам потрібно додати правило перенаправлення для запиту між сайтом, але вам потрібно видалити правило перенаправлення для зовнішнього js / css.

Я просто вирішив цю проблему, додавши в заголовку наступний код:

    <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Якщо ваш сервер додатків веб-журнал, переконайтеся, що запис WLProxySSL ON існує (а також переконайтеся, що його не слід коментувати) у файлі weblogic.conf у конф-каталозі веб-сервера. потім перезапустіть веб-сервер, він буде працювати.