我可以“信任”非 SSL 网站并将其纳入 SSL 网站吗？

Question 1

对于我们学校的电脑，至少我想禁用 IE、Firefox、Safari 和 Chrome 中的警告，只针对特定的不安全内容，以及我们包含这些内容的特定页面。这可能吗？

据我所知，在 Firefox 或 Chrome 中无法做到这一点。

你能允许 Internet Explorer 中某些网站的不安全内容，但你不能将该例外限制在您包含它的特定页面内。

就是这样：

打开互联网选项（Alt，T，O）并切换到安全标签。
选择可信任的网站。
点击自定义级别...。
在各种各样的，搜索显示混合内容并选择使能够。
点击好的两次，然后站点。
取消选中该区域内所有站点的**要求服务器验证（https:）。
将提供不安全内容的网站添加到该区域。

例如，https://xkcd.com需要来自的 CSS 文件http://imgs.xkcd.com，因此您将其添加http://imgs.xkcd.com到受信任的站点区域。
点击关闭，然后好的或者申请。

话虽如此，我认为你解决这个问题的方法不对。主流浏览器对混合内容越来越挑剔，而且这种趋势不太可能改变。即使你可以禁用大学电脑的警告，也无法解决其他电脑的问题。虽然有些用户可能会完全禁用这些警告（红色和交叉https:对我来说已经足够了），但其他所有用户都将面临糟糕的浏览体验。

真正解决这个问题的唯一方法是改变网站的设计：

HTTP 可能方法

将整个网站切换为 HTTP，并为真正需要的内容保留 HTTPS。

例如，在付账时确实没有必要聊天。账单部分无需任何额外的小工具就可以做得很好。

其他敏感信息可以显示在内联框架中，或使用 AJAX 进行拉/推。当然，后一种选择仍会向禁用 JavaScript 的用户显示令人讨厌的警告，但我想大多数小工具无论如何都需要它，因此它们可以在后备版本中被删除。

尽可能使用 HTTPS 方法

继续对整个网站使用 HTTPS，并逐案处理不安全的内容。

您提到有些在内联框架中运行。如果内联框架的主 URL 使用 HTTP，则不会生成混合内容警告，因为内联框架中的脚本不会影响父框架。

如果还有一些内容既不能限制在内联框架中也不能通过 HTTPS 检索，那么唯一的选择就是通过您的服务器进行路由，即设置一个脚本，在请求时下载某些不安全的内容并通过 HTTPS 将其转发给用户。

框架方法

如果以上选项都不可行，您可以将整个内容放在内联框架中，或者使用AJAX 导航。

这种方法的最大缺陷可以通过用 JavaScript () 更改地址栏显示的 URL 来修正window.history.pushState('Object', 'Title', URL);。

虽然这还不够完美，但至少可以让网站可以浏览。Chrome 在每个标签页中只显示一次混合内容警告。Firefox 和 Internet Explorer 会显示它每次您点击一个链接。

Answer

对于我们学校的电脑，至少我想禁用 IE、Firefox、Safari 和 Chrome 中的警告，只针对特定的不安全内容，以及我们包含这些内容的特定页面。这可能吗？

据我所知，在 Firefox 或 Chrome 中无法做到这一点。

你能允许 Internet Explorer 中某些网站的不安全内容，但你不能将该例外限制在您包含它的特定页面内。

就是这样：

打开互联网选项（Alt，T，O）并切换到安全标签。
选择可信任的网站。
点击自定义级别...。
在各种各样的，搜索显示混合内容并选择使能够。
点击好的两次，然后站点。
取消选中该区域内所有站点的**要求服务器验证（https:）。
将提供不安全内容的网站添加到该区域。

例如，https://xkcd.com需要来自的 CSS 文件http://imgs.xkcd.com，因此您将其添加http://imgs.xkcd.com到受信任的站点区域。
点击关闭，然后好的或者申请。

话虽如此，我认为你解决这个问题的方法不对。主流浏览器对混合内容越来越挑剔，而且这种趋势不太可能改变。即使你可以禁用大学电脑的警告，也无法解决其他电脑的问题。虽然有些用户可能会完全禁用这些警告（红色和交叉https:对我来说已经足够了），但其他所有用户都将面临糟糕的浏览体验。

真正解决这个问题的唯一方法是改变网站的设计：

HTTP 可能方法

将整个网站切换为 HTTP，并为真正需要的内容保留 HTTPS。

例如，在付账时确实没有必要聊天。账单部分无需任何额外的小工具就可以做得很好。

其他敏感信息可以显示在内联框架中，或使用 AJAX 进行拉/推。当然，后一种选择仍会向禁用 JavaScript 的用户显示令人讨厌的警告，但我想大多数小工具无论如何都需要它，因此它们可以在后备版本中被删除。

尽可能使用 HTTPS 方法

继续对整个网站使用 HTTPS，并逐案处理不安全的内容。

您提到有些在内联框架中运行。如果内联框架的主 URL 使用 HTTP，则不会生成混合内容警告，因为内联框架中的脚本不会影响父框架。

如果还有一些内容既不能限制在内联框架中也不能通过 HTTPS 检索，那么唯一的选择就是通过您的服务器进行路由，即设置一个脚本，在请求时下载某些不安全的内容并通过 HTTPS 将其转发给用户。

框架方法

如果以上选项都不可行，您可以将整个内容放在内联框架中，或者使用AJAX 导航。

这种方法的最大缺陷可以通过用 JavaScript () 更改地址栏显示的 URL 来修正window.history.pushState('Object', 'Title', URL);。

虽然这还不够完美，但至少可以让网站可以浏览。Chrome 在每个标签页中只显示一次混合内容警告。Firefox 和 Internet Explorer 会显示它每次您点击一个链接。

Question 2

您可以在另一个（不安全的）窗口中弹出聊天吗？

否则，你可能必须通过策略添加例外 - 对于 IE，此 Reg 文件

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]  
@=""  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com\www]  
"http"=dword:00000002

将添加www.superuser.com到受信任的位置

Answer

您可以在另一个（不安全的）窗口中弹出聊天吗？

否则，你可能必须通过策略添加例外 - 对于 IE，此 Reg 文件

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]  
@=""  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com\www]  
"http"=dword:00000002

将添加www.superuser.com到受信任的位置

我可以“信任”非 SSL 网站并将其纳入 SSL 网站吗？

答案1

HTTP 可能方法

尽可能使用 HTTPS 方法

框架方法

答案2

相关内容