出于明显的安全原因,我有一个网站主要通过常规 HTTP 访问,并且登录页面通过安全连接(HTTPS)运行(没有人喜欢他们的多用途重复密码以纯文本形式在互联网上运行:-)。
这个设置工作正常,但是我在 IE 中看到了这个烦人的弹出窗口:
您是否只想访问此页面上的安全内容?
此网页包含无法使用安全 HTTPS 连接访问的内容。这会给整个网页带来安全风险。
是 / 否 / 更多信息
(警告:这是我自己从法语翻译过来的,所以实际的措辞在英语中可能会有所不同)。
问题是,这个页面甚至没有访问任何 JavaScript 资源或任何东西。它访问的唯一资源是 CSS 样式表和 PNG 徽标。
没有明显的“不再询问我”选项。如何禁用此警告(最好仅针对此网页)或阻止其出现?
可接受的解决方案包括修改网页本身或浏览器中的本地设置。我通常不使用 IE,但在测试时我仍然发现这很烦人。
笔记:我知道显而易见的解决方案是通过 HTTPS 提供静态内容,但我不想这样做。
答案1
此警告是有原因的。服务任何通过 HTTP 将内容传输到 HTTPS 网页可能会危及 SSL 背后的整个安全性。
您说您没有访问 javascript 资源,但您当然忘记了 CSS 页面可以嵌入 javascript,而且攻击者可以调整图像大小以混淆 SSL 页面的布局。
您的解决方案是将 CSS 和图像内联到页面中,或者通过 SSL 提供所有静态内容。
或者,如果您并不真正关心安全性,您不妨完全关闭登录页面上的 SSL,因为您并没有真正保护用户的凭据,这就是 IE 警告您的原因。