最近部分客户反映网站从http访问升级到https后发现部分页面出现以下现象：1.部分内容加载不能正常显示或显示为空白  2、浏览器上方提示“此页面正在试图从未经验证的加载脚本”、“加载不安全的脚本”针对此问题我们从技术上给出以下解决方案，若需要技术支持的请联系对应业务经理。

资源替换

HTTPS 网页中加载的 HTTP 资源被称之为 Mixed Content（混合内容），我在之前的文章中详细介绍了 Optionally-blockable 和 Blockable 两类 Mixed Content，也介绍了各种浏览器对 Mixed Content 的加载策略。为了最好的用户体验，HTTPS 网站不要出现任何 Mixed Content。换句话说，HTTPS 页面中所有资源都必须替换为 HTTPS 的。

代码层的替换比较简单，但一些存在数据库中的文本（例如商品描述中的图片地址）就很容易遗漏，需要特别注意。

如果你的网站只打算支持 HTTPS，将所有外链资源（CSS、JS、图片、音频、字体文件、异步接口等等）直接替换为 HTTPS 地址，再把网站 HTTP 请求重定向到 HTTPS 即可。

当前很多支持 HTTPS 的网站出于各种原因，针对老旧浏览器或特殊网络还是允许通过 HTTP 访问。这时候，强烈建议让所有资源服务都同时支持 HTTP/HTTPS 访问。这样只要页面在使用这些资源时省略协议部分，浏览器就能根据主页面协议类型来自动选择 HTTP/HTTPS 资源。例如：

HTML<img src="https://example.com/static/img/blog/ququ.jpg" />
=>
<img src="//example.com/static/img/blog/ququ.jpg" />

针对现代浏览器，还可以通过 upgrade-insecure-requests 这个 CSP 指令，让浏览器自动替换。

省略 URL 协议有个风险点：个别移动网络提供商篡改页面时，会将这种写法的 URL 改坏，导致资源无法访问。

服务端代理

在启用 HTTPS 的实际过程中，本站的静态资源和接口相对容易改造，毕竟都可控。但很多第三方资源或接口就是不提供 HTTPS，那就只能在服务端做一层 HTTPS 代理。

服务端代理另外一个典型应用是用来解决跨域问题。通常代理本身要做的工作不多，直接用 Nginx 做反向代理，或者用 Lua、Node.js 等语言构建轻量中转服务都是不错的选择。但也有几点需要注意：

• 代理对请求 Referrer、被代理的 URL 都需要做好白名单机制；
• 代理会造成第三方通过 REMOTE_ADDR 拿到的是代理 IP，很可能导致这个 IP 被限制请求频率或被封；
• 代理只能拿到自己域名下的 Cookie，需要从其它域获取 Cookie 的第三方接口被代理后可能不能正常工作；

另外，对于页面上通过 iframe 嵌入的第三方 HTTP 页面，如果要做 HTTPS 代理，还需要修改页面里的所有资源链接，很容易出问题。对于这种情况，强烈建议联系第三方修改或者换产品方案，不要在 HTTPS 代理上耗费太多精力。

还有一个不那么常见的问题顺便说下：如果页面表单的 action 地址使用了 HTTP 地址，会导致 Chrome 地址栏绿色小锁消失。下面是一个简单示例：

<form action="http://imququ.com"></form>

最后，再讨论一个第三方接口由本地服务提供的特殊场景（例如 Android APP 在本地开一个 127.0.0.1 的 HTTP 服务，给网页调用）。这个服务几乎不可能升级为 HTTPS，显然也无法使用服务端代理。对于这个问题，我在《利用图片传输数据的另类思路》这篇文章里，提供了一种能用但不完美的解决方案。

Referrer

目前大部分浏览器，在发生协议降级时默认不发送 Referrer 信息，最典型的场景就是从 HTTPS 页面点链接跳到 HTTP 网站时，浏览器并不会在请求头中带上 Referer 字段。对于给第三方导流的网站，这一点肯定无法接受。

针对现代浏览器，这个问题可以通过给页面加上下面这个 meta 标签来解决：

<meta name="referrer" content="always" />

针对老旧浏览器，这个问题可以通过在本站部署 HTTP 跳转服务来解决，借助 HTTP 页面把 Referrer 传给第三方。

另外，本文同时出现了 Referrer 和 Referer 两种写法。

连通性

很多网站在启用 HTTPS 之后，都会接到无法访问的用户反馈。除去自身配置问题（我在《从启用 HTTP/2 导致网站无法访问说起》一文中列举了常见的配置错误）之外，很有可能是 HTTPS 连通性受到了干扰。

最常见的干扰是运营商劫持了域名 DNS 解析，这种劫持服务器一般会将用户请求反代到源网站，再在响应里夹带私货。在 HTTP 时代，这种劫持多半只会造成页面出现广告，网站还能用；而升级到 HTTPS 后，由于身份认证机制的存在，劫持服务器无法成功反代第三方网站（成功实施 HTTPS 中间人攻击的条件请看《三种解密 HTTPS 流量的方法介绍》），从而导致网站完全不可用。

我们最近在移动端做过一个统计：对比在 HTTP 网站加载本域 HTTP/HTTPS 空图片的失败率（我们对失败的定义是触发图片的 error 事件，或者超过 9s 仍未触发 load 事件），HTTPS 要高出三个百分点。

对于 HTTPS 请求失败日志，还可以进一步分析，比如找出是哪些运营商 / 地域的 HTTPS 联通性比较差，从而有针对性做一些策略。由于每个业务情况都不相同，这里只抛出问题，详细的统计数据和应对措施不在这里讨论。

本文先写到这里，有新的注意事项我会随时补充进来。最后我想说的是，启用 HTTPS 并不复杂，虽然会遇到各种各样的问题，但都能找到对应的解决方案，所需的无非就是决心、耐心和细心。在现代浏览器中，越来越多的新功能都限定在 HTTPS 下才能使用，HTTPS 也是部署 HTTP/2 的先决条件。HTTPS 和 HTTP/2 已经成为 WEB 服务的标配，赶紧行动起来吧。