最近部分客户反映网站从http访问升级到https后发现部分页面出现以下现象:1.部分内容加载不能正常显示或显示为空白 2、浏览器上方提示“此页面正在试图从未经验证的加载脚本”、“加载不安全的脚本”针对此问题我们从技术上给出以下解决方案,若需要技术支持的请联系对应业务经理。
资源替换
HTTPS 网页中加载的 HTTP 资源被称之为 Mixed Content(混合内容),我在之前的文章中详细介绍了 Optionally-blockable
和 Blockable
两类 Mixed Content,也介绍了各种浏览器对 Mixed Content 的加载策略。为了最好的用户体验,HTTPS 网站不要出现任何 Mixed Content。换句话说,HTTPS 页面中所有资源都必须替换为 HTTPS 的。
代码层的替换比较简单,但一些存在数据库中的文本(例如商品描述中的图片地址)就很容易遗漏,需要特别注意。
如果你的网站只打算支持 HTTPS,将所有外链资源(CSS、JS、图片、音频、字体文件、异步接口等等)直接替换为 HTTPS 地址,再把网站 HTTP 请求重定向到 HTTPS 即可。
当前很多支持 HTTPS 的网站出于各种原因,针对老旧浏览器或特殊网络还是允许通过 HTTP 访问。这时候,强烈建议让所有资源服务都同时支持 HTTP/HTTPS 访问。这样只要页面在使用这些资源时省略协议部分,浏览器就能根据主页面协议类型来自动选择 HTTP/HTTPS 资源。例如:
HTML<img src="https://example.com/static/img/blog/ququ.jpg" />
=>
<img src="//example.com/static/img/blog/ququ.jpg" />
针对现代浏览器,还可以通过 upgrade-insecure-requests
这个 CSP 指令,让浏览器自动替换。
省略 URL 协议有个风险点:个别移动网络提供商篡改页面时,会将这种写法的 URL 改坏,导致资源无法访问。
服务端代理
在启用 HTTPS 的实际过程中,本站的静态资源和接口相对容易改造,毕竟都可控。但很多第三方资源或接口就是不提供 HTTPS,那就只能在服务端做一层 HTTPS 代理。
服务端代理另外一个典型应用是用来解决跨域问题。通常代理本身要做的工作不多,直接用 Nginx 做反向代理,或者用 Lua、Node.js 等语言构建轻量中转服务都是不错的选择。但也有几点需要注意:
-
代理对请求 Referrer、被代理的 URL 都需要做好白名单机制;
-
代理会造成第三方通过
REMOTE_ADDR
拿到的是代理 IP,很可能导致这个 IP 被限制请求频率或被封;
-
代理只能拿到自己域名下的 Cookie,需要从其它域获取 Cookie 的第三方接口被代理后可能不能正常工作;
另外,对于页面上通过 iframe 嵌入的第三方 HTTP 页面,如果要做 HTTPS 代理,还需要修改页面里的所有资源链接,很容易出问题。对于这种情况,强烈建议联系第三方修改或者换产品方案,不要在 HTTPS 代理上耗费太多精力。
还有一个不那么常见的问题顺便说下:如果页面表单的 action
地址使用了 HTTP 地址,会导致 Chrome 地址栏绿色小锁消失。下面是一个简单示例:
<form action="http://imququ.com"></form>
最后,再讨论一个第三方接口由本地服务提供的特殊场景(例如 Android APP 在本地开一个 127.0.0.1 的 HTTP 服务,给网页调用)。这个服务几乎不可能升级为 HTTPS,显然也无法使用服务端代理。对于这个问题,我在《利用图片传输数据的另类思路》这篇文章里,提供了一种能用但不完美的解决方案。
Referrer
目前大部分浏览器,在发生协议降级时默认不发送 Referrer 信息,最典型的场景就是从 HTTPS 页面点链接跳到 HTTP 网站时,浏览器并不会在请求头中带上 Referer 字段。对于给第三方导流的网站,这一点肯定无法接受。
针对现代浏览器,这个问题可以通过给页面加上下面这个 meta 标签来解决:
<meta name="referrer" content="always" />
针对老旧浏览器,这个问题可以通过在本站部署 HTTP 跳转服务来解决,借助 HTTP 页面把 Referrer 传给第三方。
另外,本文同时出现了 Referrer
和 Referer
两种写法。
连通性
很多网站在启用 HTTPS 之后,都会接到无法访问的用户反馈。除去自身配置问题(我在《从启用 HTTP/2 导致网站无法访问说起》一文中列举了常见的配置错误)之外,很有可能是 HTTPS 连通性受到了干扰。
最常见的干扰是运营商劫持了域名 DNS 解析,这种劫持服务器一般会将用户请求反代到源网站,再在响应里夹带私货。在 HTTP 时代,这种劫持多半只会造成页面出现广告,网站还能用;而升级到 HTTPS 后,由于身份认证机制的存在,劫持服务器无法成功反代第三方网站(成功实施 HTTPS 中间人攻击的条件请看《三种解密 HTTPS 流量的方法介绍》),从而导致网站完全不可用。
我们最近在移动端做过一个统计:对比在 HTTP 网站加载本域 HTTP/HTTPS 空图片的失败率(我们对失败的定义是触发图片的 error 事件,或者超过 9s 仍未触发 load 事件),HTTPS 要高出三个百分点。
对于 HTTPS 请求失败日志,还可以进一步分析,比如找出是哪些运营商 / 地域的 HTTPS 联通性比较差,从而有针对性做一些策略。由于每个业务情况都不相同,这里只抛出问题,详细的统计数据和应对措施不在这里讨论。
本文先写到这里,有新的注意事项我会随时补充进来。最后我想说的是,启用 HTTPS 并不复杂,虽然会遇到各种各样的问题,但都能找到对应的解决方案,所需的无非就是决心、耐心和细心。在现代浏览器中,越来越多的新功能都限定在 HTTPS 下才能使用,HTTPS 也是部署 HTTP/2 的先决条件。HTTPS 和 HTTP/2 已经成为 WEB 服务的标配,赶紧行动起来吧。