本日在调试网站时,发明 html 请求头中有个 Upgrade-Insecure-Requests:1 参数,查了一下相关的资料,感受挺有意思,记录一下。
HTTP Upgrade-Insecure-Requests 请求头向处事器发送一个客户端对HTTPS加密和认证响应精采,而且可以乐成处理惩罚的信号,可以请求所属网站所有的HTTPS资源。
在https页面中,假如挪用了http资源,那么欣赏器就会抛出一些错误。为了改酿成这一状况,chrome(谷歌欣赏器)会在http请求中插手 'Upgrade-Insecure-Requests: 1' ,处事器收到请求后会返回 "Content-Security-Policy: upgrade-insecure-requests" 头,汇报欣赏器,可以把所属本站的所有 http 毗连进级为 https 毗连。
例:
未利用https协议的链接:
别离进级https后的链接:
https://feiniaomy.com/css/style.css https://feiniaomy.com/js/js.js https://feiniaomy.com/img.jpg留意:
1、进级后的链接在处事器端必须有对应的资源。
2、只会进级网站内部的链接,对付不属于网站同部的链接,则保持默认状态。
3、并不是所以的欣赏器兼容此 HTTP 请求头,兼容表如下
PHP响应代码
1、
header("Content-Security-Policy: upgrade-insecure-requests");2、
header('Upgrade-Insecure-Requests: 1');HTML响应代码
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />相关扩展: