html - Fik SSL, nu er alle anmodede filer blokeret (blandet indhold)

Indlæg af Hanne Mølgaard Plasc

Problem



Jeg har kunder, der bruger HTML på deres sider, som jeg giver. Den HTML link til filer på min server (JS, CSS, billeder osv.).

Eksempel på hvad jeg giver dem:
<link type="text/css" rel="stylesheet" href="http://www.example.org/this.css" />


Jeg har lige fået en SSL, så mit websted er nu http s . Men HTML'en på deres server, som jeg gav dem, er stadig http, når der anmodes om filer fra min server.


På grund af dette får de blandede indholds advarsler, og indholdet er blokeret. Som dette:


Blandet indhold: Siden på 'https://www.example.org/' blev hentet over HTTPS, men anmodet om et usikkert stilark 'http://www.example.org/file.css'. Denne anmodning er blevet blokeret indholdet skal serveres over HTTPS. [13] [14]


Jeg kan ikke have alle mine klienter ændre alle deres links på alle deres sider til 'http s ', så advarsel/blokering forhindres. Det ville være et mareridt.


Min vært er GoDaddy. Min server er en Windows-server, IIS: 7.0, ASP.Net Runtime Version: 4.0/4.5.


Hvordan kan jeg løse dette ved min ende via web.config? Mine nuværende regler er:


<configuration>
<system.webServer>
    <rewrite>
        <rules>
            <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                <match url="(.*)" />
                <conditions>
                    <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                </conditions>
                <action type="Redirect" redirectType="Permanent" url="https://{HTTP\_HOST}/{R:1}" />
            </rule>
        </rules>
    </rewrite>
</system.webServer>





Hvad jeg vil ske er, har alle udenfor http-anmodninger til min https-server, for at få lov.


Tak!

Bedste reference


Du kan tjene dit websted med en Content-Security-Policy: upgrade-insecure-requests header. [15]


upgrade-insecure-requests CSP-direktivet kan også angives ved hjælp af et meta element:


<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">



  Direktivet om HTTP-indholdsikkerhedspolitik (CSP) upgrade-insecure-requests instruerer brugeragenter til at behandle alle websitetets usikre webadresser (dem, der serveres via HTTP), som om de er blevet erstattet af sikre webadresser (dem, der serveres via HTTPS) . Dette direktiv er beregnet til websteder med et stort antal usikre gamle webadresser, der skal omskrives.



Direktivet upgrade-insecure-requests understøttes i alle aktuelle browsere bortset fra Edge. [16]


For at hjælpe Edge-teamet gør implementering af support til det en højere prioritet, kan du opvote/kommentere det relaterede Microsoft Edge Developer Feedback-problem for det. [17]


I øvrigt blev 'Siden ved 'https://www.example.org/' indlæst over HTTPS, men anmodet om et usikkert stylesheet 'http://www.example.org/file.css'' -meddelelsen er ikke en, som nogen ville få ved blot at have en <link…href="http://www.example.org/this.css" /> element i HTML'en til deres eget websted. Den eneste måde, hvorpå de ville få den besked, er, hvis de navigerede direkte til https://www.example.org/.