如果在一个 https 页面里动态的引入 http 资源,比如引入一个 js 文件,会被直接 block 掉的。
解决方法:
将http请求转成https请求,添加响应头,设置mate如下:
<meta http-equiv='Content-Security-Policy' content='block-all-mixed-content'>
或者在我们服务器响应头中加入:
header("Content-Security-Policy: upgrade-insecure-requests");我们的页面是 https 的,而这个页面中包含了其它的 http 资源(图片、iframe等),页面一旦发现存在上述响应头,会在加载 http 资源时自动替换成 https 请求。
