瀏覽器什么時候在SSL站點上拋出內容不安全警告

Question

讓我先介紹一下這種情況，我正在使用網站構建器工具在共享環境中工作。 我正在嘗試使用https加載網站。 我已經完成了重定向，並且可以正常工作，它給了我有關某些頁面內容未安全加載的警告。 該工具無法切換到所有https鏈接。 我知道相對鏈接會加載主頁使用的任何協議，但會使用硬編碼的協議（除非在瀏覽器與構建器之間建立斷開連接和/或為每次發布進行更多工作，否則我就無法更改那些相對鏈接），我將編寫一些JavaScript放置在標題中以在文檔加載時運行以搜索並將http的每個實例替換為https。

我的問題是這是瀏覽器在標記非https src或href的第一個實例之前是否等待頁面加載，然后開始逐行運行，還是等待所有內容加載並運行然后再標記。

我的想法是，如果它首先運行腳本，那么我可以將其放在標頭中，因為代碼按操作順序在頂部附近執行，所以很好。

Answer 1

我剛剛建立SSL，發現不同的瀏覽器選擇截然不同的點來阻止內容和降低頁面發布的安全等級。

首先，當我建立SSL時，所有調用http的嵌入式內容都中斷了：

Firefox 41 0 01拾取並阻止了此混合內容。

Chrome 45.0.2454.101拾取並阻止相同的混合內容。

在我的嵌入式內容中用https替換http可以解決此問題。

此時的Chrome 45.0.2454.101將頁面顯示為“綠色鎖定” SSL。

Firefox 41 0 01 STILL會提取混合內容，並且不會阻止嵌入的內容，但是拒絕將頁面認證為SSL安全。 它提供內容而無需用戶更改安全設置並允許不安全的內容！

FF控制台從我認為是嵌入式google map的嵌入式java中調出一個電話，在我的情況下是gstatic。 它正在通過http調用圖像文件的不安全連接。

具體來說，FF控制台將罪魁禍首命名為“ http://www.gstatic.com/gmeviewer/images/no_results-000.png ”。

當運行同一頁面時，Chrome控制台不會將此調用命名為有違SSL安全性。

因此，這個問題的答案似乎是“截然不同”，因為我通過這兩種不同的瀏覽器運行同一頁面並獲得了截然不同的結果。

這真讓我抓狂。 我是內容的創造者，而不是代碼。 我要說的是，這種有趣的情況引出了下一個問題，即：“如何通過具有相同頁面的不同瀏覽器來獲得一致的頁面安全性？”

具體來說，如何使FF顯示Google嵌入式地圖內容而又不會破壞SSL並嚇壞站點管理員和用戶？

Chrome顯示的內容與完全安全的內容完全相同...

而且...你們在這里已經為我解決問題已有五年了，在這里進行了很好的討論，謝謝，我希望我的第一次參與是正確的，並且有助於回答和進一步闡明問題。