Dlaczego nagle w Firefoksie pojawia się problem „Zablokowane ładowanie mieszanej zawartości aktywnej”?

Dziś rano, po uaktualnieniu przeglądarki Firefox do najnowszej wersji (z 22 do 23), niektóre kluczowe aspekty mojego back office (strony internetowej) przestały działać.

Przeglądając dziennik Firebug, zgłaszano następujące błędy:

Blocked loading mixed active content "http://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css"
Blocked loading mixed active content "http://ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"`

wśród innych błędów spowodowanych tym, że drugi z dwóch powyższych nie został załadowany.

Co oznacza powyższe i jak to rozwiązać?

Znalazłem ten post na blogu, który wyjaśnił kilka rzeczy. Aby zacytować najbardziej odpowiedni bit:

Mieszana zawartość aktywna jest teraz domyślnie blokowana w przeglądarce Firefox 23!

Co to jest zawartość mieszana?
Gdy użytkownik odwiedza stronę obsługiwaną przez HTTP, jego połączenie jest otwarte na podsłuch i ataki typu man-in-the-middle (MITM). Gdy użytkownik odwiedza stronę obsługiwaną przez HTTPS, jego połączenie z serwerem internetowym jest uwierzytelniane i szyfrowane za pomocą protokołu SSL, a zatem zabezpieczone przed podsłuchem i atakami MITM.

Jeśli jednak strona HTTPS zawiera treść HTTP, część HTTP może zostać odczytana lub zmodyfikowana przez atakujących, nawet jeśli strona główna jest obsługiwana przez HTTPS. Gdy strona HTTPS ma treść HTTP, nazywamy ją „mieszaną”. Strona odwiedzana przez użytkownika jest tylko częściowo zaszyfrowana, ponieważ niektóre treści są pobierane niezaszyfrowane przez HTTP. Moduł mieszanej zawartości blokuje niektóre żądania HTTP na stronach HTTPS.

W moim przypadku rozwiązaniem było po prostu upewnienie się, że jquerydołączenia były następujące (zwróć uwagę na usunięcie protokołu):

<link rel="stylesheet" href="https://stackoverflow.com//code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css" type="text/css">
<script type="text/javascript" src="//ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"></script>

Pamiętaj, że tymczasową „poprawką” jest kliknięcie ikony „tarczy” w lewym górnym rogu paska adresu i wybranie „Wyłącz ochronę na tej stronie”, chociaż nie jest to zalecane z oczywistych powodów.

AKTUALIZACJA: Ten link ze stron wsparcia przeglądarki Firefox (Mozilla) jest również przydatny w wyjaśnieniu, co stanowi mieszaną zawartość, i jak podano w powyższym akapicie, faktycznie zawiera szczegółowe informacje na temat wyświetlania strony niezależnie od:

Większość stron internetowych będzie nadal działać normalnie bez żadnych działań z Twojej strony.

Jeśli chcesz zezwolić na wyświetlanie mieszanej zawartości, możesz to zrobić z łatwością:

Kliknij ikonę tarczy Tarcza mieszana na pasku adresu i wybierz Wyłącz ochronę na tej stronie z menu rozwijanego.

Ikona na pasku adresu zmieni kolor na pomarańczowy trójkąt ostrzegawczy Ikona tożsamości ostrzegawczej, aby przypomnieć, że wyświetlana jest niepewna treść.

Aby cofnąć poprzednią akcję (ponownie zablokować zawartość mieszaną), wystarczy ponownie załadować stronę.

Oznacza to, że dzwonisz pod http z https. Możesz użyć src="//url.to/script.js"w tagu skryptu, który automatycznie wykryje.

Alternatywnie możesz użyć https w swoim, srcnawet jeśli będziesz publikować go na stronie http. Pozwoli to uniknąć potencjalnego problemu wspomnianego w komentarzach.

W przypadku braku funkcji białej listy musisz dokonać wyboru „wszystko” lub „nic”. Możesz całkowicie wyłączyć blokowanie mieszanych treści.

Wybór Nic

Konieczne będzie trwałe wyłączenie blokowania mieszanych treści dla bieżącego aktywnego profilu.

W „Awesome Bar” wpisz „about: config”. Jeśli to pierwszy raz, otrzymasz „Może to unieważnić gwarancję!” wiadomość.

Tak, będziesz ostrożny. Tak, obiecujesz!

Znajdź security.mixed_content.block_active_content . Ustaw jego wartość na false .

Cały wybór

Odpowiedź iDevelApp jest niesamowita.

Umieść poniższy <meta>znacznik w <head>sekcji dokumentu, aby wymusić na przeglądarce zamianę niezabezpieczonych połączeń (http) na połączenia zabezpieczone (https). Może to rozwiązać problem mieszanej zawartości, jeśli połączenie może korzystać z protokołu https.

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Jeśli chcesz zablokować, dodaj poniższy tag do <head>tagu:

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

Jeśli korzystasz z usługi wewnętrznej za pośrednictwem AJAX, upewnij się, że adres URL wskazuje https, to dla mnie usunęło błąd.

Początkowy adres URL AJAX: „ http://XXXXXX.com/Core.svc/ ” + ApiName
Poprawiony adres URL AJAX: „ https://XXXXXX.com/Core.svc/ ” + ApiName,

Podano błąd ze względu na bezpieczeństwo. w tym celu użyj adresu „https”, a nie „http” w adresie URL witryny.

Na przykład :

   "https://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css"
   "https://ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"

Na odpowiedniej stronie, która tworzy niedostępne połączenie HTTP https to http, możemy dodać następujący wpis w odpowiednim i pozbyć się błędu mieszanej zawartości.

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Miałem ten sam problem, ponieważ kupiłem szablon CSS, który przechwycił javascript przez zewnętrzny plik javascript http://whatever.js.com/javascript.js. Poszedłem do tej strony w przeglądarce, a następnie zmieniłem ją na https://whatever...SSL i działało, więc w moim tagu javascript HTML po prostu zmieniłem adres URL do użycia httpszamiast httpi działało.

Aby wymusić przekierowanie na protokole https, możesz również dodać tę dyrektywę do pliku .htaccess w folderze głównym

RewriteEngine on

RewriteCond %{REQUEST_SCHEME} =http

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

@Blender Comment to najlepsze podejście. Kodeks nigdy ciężko gdziekolwiek protokół w kodzie, jak to będzie trudne do zmiany, jeśli przejść od httpdohttps . Ponieważ musisz ręcznie edytować i aktualizować wszystkie pliki.

Jest to zawsze lepsze, ponieważ automatycznie wykrywa protokół.

src="//code.jquery.com

Odkryłem, że jeśli masz problemy z włączeniem lub pomieszaniem strony z czymś takim jak http : //www.example.com, możesz to naprawić, wstawiając // www .example.com zamiast tego

Mam ten sam problem, gdy moja witryna przechodzi z http do https. Dodaliśmy regułę dla wszystkich żądań przekierowania http na https.

Musisz dodać regułę przekierowania dla żądania między lokacjami, ale musisz usunąć regułę przekierowania dla zewnętrznego js / css.

Właśnie rozwiązałem ten problem, dodając następujący kod w nagłówku:

    <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Jeśli serwer aplikacji jest weblogic, upewnij się, że istnieje wpis WLProxySSL ON (i upewnij się, że nie powinien być komentowany) w pliku weblogic.conf w katalogu conf serwera WWW. następnie uruchom ponownie serwer WWW, będzie działać.