网站升级 HTTPS ，全 html 文件， web 服务器 IIS。有什么好办法?

2020-08-25 09:59:47 +08:00

itll

网站升级 HTTPS，全 html 文件，页面内引用图片，js 都是写的完整地址如下：

<script type="text/javascript" src="http://www.demo.com/js/xx.js"></script>

.logo a{display: block;float: left;background: url( http://www.demo.com/images/logo.png) no-repeat 0 0px;height: 50px;width: 170px;}

<img src="http://www.demo.com/images/logo.jpg"></a>

IIS 已经配置 301 重定向()，但页面中图片链接写完整地址 http，导致 chrome 显示不安全
- 参考： https://www.hangge.com/blog/cache/detail_1885.html

目前找到 2 种解决方法，都需要修改许多页面（预估 500 个左右）

修改页面中链接地址

<img src="https://example.com/ququ.jpg" />  
=> 
<img src="//example.com/static//ququ.jpg" />

页面中添加

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> //站点内的 HTTP 请求，都会 HTTPS 的方式发起

参考： https://imququ.com/post/sth-about-switch-to-https-3.html

大家还有简单的方法吗？

2163 次点击

所在节点

22 条回复

zachlhb

2020-08-25 10:04:04 +08:00

静态资源开头不要写协议，只需 //xxx.com/xxxx.jpg 就行了，会自动适配当前访问的协议类型

CallMeReznov

2020-08-25 10:05:01 +08:00

相对路径+不要 http 的外部连接就行了呀

also24

2020-08-25 10:05:55 +08:00

建议修改链接，用 sed 或者找个主流的文本编辑器批量改一下就好

itll

2020-08-25 10:07:33 +08:00

@zachlhb
省略 URL 协议有个风险点：个别移动网络提供商篡改页面时，会将这种写法的 URL 改坏，导致资源无法访问。详见《诡异问题排查之「 DataURI 引发的血案」》这篇文章。
https://imququ.com/post/sth-about-switch-to-https-3.html

ysc3839

2020-08-25 10:09:31 +08:00

meta http-equiv 的作用是通过 HTML 设置一些原本需要放在 HTTP 响应头中的属性，而不需要对服务器本身进行设置。
但是在能调整服务器设置的情况下，就没必要使用 meta http-equiv 了，直接在 HTTP 响应头中设置即可。

itll

2020-08-25 10:10:05 +08:00

@also24 蛋疼的是 N 年的官网，许多老页面。无法完整 copy 下来，只能一个个的修改页面

yuzo555

2020-08-25 10:10:52 +08:00

实在懒惰的话可以在 IIS 中配置响应头：

```
Content-Security-Policy: upgrade-insecure-requests;
```

最好还是找个文本替换工具批量替换下。

itll

2020-08-25 10:12:26 +08:00

@ysc3839 IIS 服务设置了，图片链接也 301 重定向。关键 chrome 上还是显示不安全

Mutoo

2020-08-25 10:12:34 +08:00

sublime 或者 vsc 都支持全目录查找替换的，用正则一下就搞定。不放心可以版本控制，commit 之前目测一下。500 个一点也不多。

ysc3839

2020-08-25 10:15:52 +08:00

@itll 最好确认一下，响应头中是否含有 Content-Security-Policy ？浏览器还会通过 http 请求吗？
如果确认 Content-Security-Policy 已经生效，那可能是 Chrome 的限制吧，必须把链接改掉才不提示。

wangkun025

2020-08-25 10:17:00 +08:00

我也是 sublime 文本替换。分分钟的事儿。

itll

2020-08-25 10:19:16 +08:00

@ysc3839 之前页面中没有加 Content-Security-Policy，是不行的。加了就 OK 了

itll

2020-08-25 10:20:36 +08:00

@Mutoo N 年的官网项目，没有版本控制。太大无法完整 copy 下来。还只能一个一个页面修改

itll

2020-08-25 10:21:24 +08:00

@yuzo555 IIS 中添加相应头可以。我再测试测试

ysc3839

2020-08-25 10:22:39 +08:00

@itll 所以你前面说的“IIS 服务设置了”指的是什么？有试过在响应头中添加 Content-Security-Policy 吗？

itll

2020-08-25 10:27:48 +08:00

@ysc3839 在 IIS 响应头中添加 Content-Security-Policy 可以，正在测试。之前以为只能 html 页面中添加

sampeng

2020-08-25 12:49:36 +08:00

@itll 太大是多大？几十个 T ？ G 单位的，你在这里等待答案的同时已经完事了

ChanKc

2020-08-25 13:17:33 +08:00

hsts ？

itll

2020-08-25 15:14:27 +08:00

@sampeng 生产的服务器访问不了，运维反馈部分文件夹无法压缩，里面掺杂的东西太多。产品展示全是当个 html 文件

itll

2020-08-25 15:19:04 +08:00

感谢大家，问题已经解决。IIS-->Http 响应标头添加 Content-Security-Policy: upgrade-insecure-requests;

@yuzo555 @ysc3839 感谢

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/701161

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX