Предположим, что мой сайт превышает HTTPS, и мне нужно загрузить CSS или Object ресурс от HTTP, как я могу это сделать?Разрешить загрузку HTTP-ресурсов через HTTPS
Обратите внимание, что я могу добавить Content-Security-Policy в заголовки ответов по сайтам HTTPS, но я точно не знаю, как это сделать. Может ли кто-нибудь дать мне решение?
Решение отсутствует. Современные браузеры откажутся от использования ресурсов, отличных от https, на страницах, обслуживаемых https, потому что вы фактически подрываете модель безопасности https таким образом. CSP не поможет, потому что это не устраняет проблему. Ваш единственный выбор - либо обслуживать сайт по http, либо прокси-серверу, включая внешние сайты, не содержащие https, на вашем собственном сайте. Но обратите внимание, что последний вариант может повлиять и на модель безопасности, поскольку теперь эти внешние ресурсы рассматриваются как происходящие из того же домена, что и ваш собственный контент, и поэтому могут злоупотреблять одной и той же политикой происхождения.
Как владелец веб-сайта, я должен быть в состоянии решить, возможна ли загрузка содержимого HTTP или нет. Вы уверены, что нет решения? –
Если вам не нужна безопасность, предлагаемая HTTPS, вы можете предоставить полный контент HTTP вместо этого. Но идея состоит в том, что любое содержимое, включенное в страницу HTTPS, должно иметь такую же защиту, что и сама страница, потому что в противном случае это может поставить под угрозу безопасность страницы. –
Спасибо за ваше четкое объяснение. –