在https页面,通过iframe实现http跨域访问(解决mixed content)

原创 已于 2023-12-12 22:13:35 修改 · 7.5k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https #javascript #nginx #http

于 2023-12-12 22:12:06 首次发布
本文介绍了在HTTPS页面通过iframe加载HTTP资源时遇到的混合内容(mixed content)问题,以及如何利用nginx的反向代理功能解决这个问题。详细步骤包括找到nginx配置文件,修改location字段以匹配并转发请求,最后重启服务器,从而实现跨域访问。此外,还提及了尝试将HTTP升级为HTTPS的方法,但未确认可行性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[问题背景]:

对PI KVM进行客制化时,需要实现以下效果:在https的主页面中,实现在iframe中访问http协议的资源(访问的资源仅支持http协议)。

或者说,https中通过iframe方式调用http资源(跨域)失败,控制台显示mixed content

[问题解决]:

1.前置知识:

1.1.同源

两个页面具有相同的协议(protocol)主机(host)端口号(port),即 “指在同一个域”。

1.2. 跨域:

违反上述三要素中的一个,即称为 “跨域访问”。

2.访问的资源支持https时的解决办法:

直接百度即可,网上提供的大多都是这类情况的解决办法。

3.访问的资源只支持http:

当我们访问服务器时,简易流程如下:

浏览器 >> nginx / 其它代理 >> 服务器具体内容

这里以使用nginx为例。nginx可以对需要访问的服务器做反向代理,来实现跨域访问。

具体步骤如下:
a. 找到nginx配置文件的位置:

我的nginx配置文件,将主要配置写在了单独文件 kvmd.ctx-server.conf 中,在nginx配置时,它会被include到nginx.conf中。所以这里我直接修改 kvmd.ctx-server.conf

最低0.47元/天 解锁文章

200万优质内容无限畅学
浏览器安全——Web页面安全&浏览器网络安全(HTTPS)&浏览器系统安全
weixin_44915595的博客
12-16 6372
一、Web页面安全 同源和: 同源: 页面中最基础、最核心的安全策略:同源策略(Same-origin policy)。浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。 什么是同源?如果两个页面拥有相同的协议、名和端口,那么这两个页面具有相同的源。 同源政策:是浏览器提供的一个安全功能。是为了保证用户信息的安全,防止恶意的网站窃取数据。 同源策略主要表现在 DOM、Web 数据和网络这三个层面。 第一个,DOM 层面。同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM
https使用iframe嵌入http资源的问题
热门推荐
lao_pei的专栏
06-22 6万+
  1)目前现象:           https 网站 使用iframe嵌入http资源网站的内容,会弹出“是否加载不安全的内容”的提示,点击“加载”按钮后显示正常。          对用户来说显示不友好。  2)问题原因:          https中使用http的资源时,浏览器会认为可能会不安全, 会自动弹出“是否加载不安全的内容”的提示。          该提示由浏览器自动弹出,不能...
https页面,通过iframe实现http访问解决iframe页面点击浏览器刷新按钮后返回首页问题)
lyn1772671980的博客
05-30 3669
https项目页面,利用iframe嵌入http项目页面,用nginx配置抓发后解决,浏览器F5刷新后,请求的http项目的页面返回首页,并不是url对应的页面httpshttp项目均为vue项目)解决方案:http项目改为history路由,iframe修改src。问题原因:由于http项目用的hash路由,导致刷新后返回首页。
记录 iframe 通信及安全配置
qq_36291550的博客
05-08 1534
然而,随着问题的日益严峻,如何确保在安全的前提下实现不同源之间的通信和资源加载,成为了开发者需要解决的关键问题。中,造成点击劫持(Clickjacking)等安全问题,你可以使用以下的头部配置来增强安全性。:由于浏览器的同源策略,父页面iframe 之间默认不能互相访问对方的资源。提供了一个安全的方式,让不同iframe 和父页面之间能够安全地通信。与传统的 DOM 操作不同,,不同iframe 默认不能访问页面的资源,反之亦然。中,第二个参数是目标源,确保只允许来自指定源的消息。
Mixed Content混合内容错误 Iframe Http页面无法访问
rth362147773的博客
12-15 2万+
问题描述今天在做一个https站点的时候,需要用iframe打开一个http页面。但发现在手机上和chrome上就是无法打开,显示Mixed Content(混合内容)。因为https协议站点,读取的资源文件js css png,包括请求post和get,还有iframe页面,都必须是https协议的。所以就会报出下面的错误,其实是浏览器为了HTTPS网站不会受到不安全的HTTP资源的攻击的出现错
关于https页面使用ifream嵌套http页面
孙少的博客
10-18 7911
关于https页面使用ifream嵌套http页面
iframe解决方案
小巧r的博客
08-03 2万+
在 Web 开发中,是指在一个(例如,https://www.example.com)的页面中请求了另一个(例如,https://api.example.com)的资源,浏览器出于安全考虑会阻止这样的请求。:在父页面的同下创建一个代理页面,该页面iframe 的目标同源,然后在代理页面中请求目标资源,并将请求结果传递回父页面。这样可以绕过限制,但需要后端协助。:如果想在当前系统里嵌入其他系统链接,可以在nginx中,将请求的接口代理到对应的服务器下,实现接口的正常调用。
https服务器访问http资源报Mixed Content混合内容错误
weixin_46058007的博客
11-05 3554
页面通过 HTTPS 加载,但是尝试通过 XMLHttpRequest 请求一个 HTTP 资源。现代浏览器为了安全考虑,默认会阻止这种不安全的请求,报混合错误,这篇文章给出前端的解决方式。
http的前端页面嵌入到https里面,导致http的跳转链接被强制加上https,如何解决
03-19
第四,如果嵌入的内容是通过iframe加载的HTTP页面,可能需要在该页面的响应头中设置`Content-Security-Policy`的`upgrade-insecure-requests`指令,但这会将该页面内的所有HTTP资源升级为HTTPS,可能不符合需求。...
通信新策略:如何在5分钟内安全获取iframe父窗口URL
![通信新策略:如何在5分钟内安全获取iframe父窗口URL]...接着,文章探讨了在不同权限条件下如何安全获取iframe父窗口的URL,并通过实战演练展示了相关的代码实现。此外,本文还深入分析了通信可
iframe 加载pdf报错不是https
最新发布
07-24
因此,解决HTTPS错误的核心是:避免在HTTPS页面中通过HTTP加载资源。我们可以通过将资源升级为HTTPS、使用data URI、使用代理或使用支持HTTPS的PDF查看器(如PDF.js)来实现。 相关问题: 1. 如何将PDF文件...
https嵌套httpiframe
sy_yan的博客
06-22 5083
今天项目遇到了问题,一个用户访问不到嵌套了iframe页面,原因是这个用户访问的我们的项目是https,那个页面嵌套的是http 后来发现 浏览的安全机制会让安全性高的项目不能嵌套安全性低的iframe页面 https不能嵌套 http 其他嵌套情况都可以 总结如下: http可以嵌套http https https可以嵌套 https 其他的解决方案: 让嵌套的页面都改成https (合理) 在浏览器中设置这几个地址是安全的(不合理) 让用户访问https的时候修改为http (不太合理) ...
【华为云技术分享】详解浏览器的几种方法
华为云官方博客
07-13 4402
本文针对浏览器的特性,做一下深入介绍,以便我们在进行WEB前端开发和测试时,对浏览器特性有全面的理解和掌握。
关于https页面使用ifream嵌套http页面问题解决
weixin_40576390的博客
04-23 2万+
之前公司项目,部署的时候协议用的http,然后前几天,运维把协议换成了https的,当时也没仔细测试,觉得没什么问题,蓝后,昨天,产品部的人突然发现其中的某个播放视频的页面显示不出来了,报错信息: 接着上这个页面的部分代码: 就是这个页面用ifram嵌套了另一个项目的页面,另一个项目httphttps都支持(猜测不指定的情况下,它默认会找http),刚开始看到这个问题一脸懵,也不知...
https iframe嵌套http页报错
定格空间
02-26 3696
浏览器默认是不允许在HTTPS里面引用HTTP页面的,ie下面会弹出提示框提示是否显示不安全的内容,一般都会弹出提示框,用户确认后才会继续加载,但是chrome下面直接被block掉,只在控制台打出信息。 page - iframe - status http - http - allowed http - https - allowed https- http - not allowed https嵌套http不支持 https- https - allowed https - https - ins.
VUE使用 iframe 嵌入网页
lilylry的博客
08-11 1万+
但若嵌入的网页是第三方网页,对方的操作可能存在安全风险。为了限制的风险,HTML 提供了sandbox属性,允许设置嵌入的网页的权限,等同于提供了一个隔离层,即“沙箱”。allow-storage-access-by-user-activation:允许在用户激动的情况下,嵌入的网页通过 Storage Access API 访问父窗口的储存。问题:容器云嵌入该工程时使用iframe嵌入,嵌入的路径是动态的,路由的代理会产生问题,运维功能嵌入其他平台时,路径也是动态的同样也需要配置。
监听 iframe src_的几种实现方式|精选博客
weixin_39934085的博客
12-06 2509
一、背景同源策略同源策略可以理解为浏览器的一种安全机制,浏览器只允许与本下的接口进行交互。不同源的客户端在没有明确授权的情况下,不能读写服务端的资源。什么是不同源呢:不同的协议 例:http/https不同的名不同的端口不同的二级名 例:http://a.baidu.com、http://b.baidu.com(不然哪来的降)补充点在出现问题时,浏览器究竟在哪一步进行了拦截...
前端Docker部署 http / https服务&使用 iframe嵌套页面遇到的问题&页面403 Forbidden问题
Alice_hhu的博客
05-05 5049
中心思想:先部署 http服务,再部署 https服务转发到 http服务上
iframe嵌入https地址,浏览器却访问http协议后不识别报错
weixin_47660078的博客
10-14 9145
当时本地嵌入此地址正常访问,部署测试环境后报错 iframe嵌入必须是https地址,由于当时https名配置的证书不安全,浏览器认为此链接不安全,所以浏览器访问http协议,就出现了这个报错,我的解决方式是可以和运维沟通配置安全证书或者运维同学配置访问http协议强跳转指https,至此就解决了这个问题,如有其它解决方式,大家一起讨论一波~~~ ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值