混合http和https

这是我的理解，如果你有一个https网站，你希望所有的外部文件 - js，css，图像等也是https，以免你得到一些警告，说明有些内容不安全或者其他的东西。混合http和https

嗯，我只是试了一下，并没有得到任何警告。

我在哪里看到这些警告？另外，假设这是真的......是相反的吗？如果您在http网站上包含https内容，您是否会冒任何警告？

FWIW我尝试这样做：

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js"></script>

谷歌已经人在默认情况下这样做：

<script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js"></script>

这将使它所以它的牵强无论从取决于你的网站是什么HTTP或HTTPS使用。当然，如果http上的https没有给出任何警告，似乎对所有js文件执行https也会起作用。

2013-04-06 neubert

如何检查警告？ – trajce 2013-04-06 17:18:35

说实话我只是期待那里有一个弹出窗口或什么大声笑，但我没有看到FF错误控制台中的任何东西.. – neubert 2013-04-06 17:19:33

在铬例如，我通过点击左边的文档/网址左侧的挂锁图标。它显示网站信息。有2个选项卡权限和连接。在连接选项卡中，它会显示连接是否安全以及其他有用的详细信息。 – trajce 2013-04-06 17:23:07

只需添加另一件事，如果您在https网页上通过http加载内容，则你会得到警告，但如果你做的是相反的话，那么不会有任何警告，但请记住，https比http慢。因此，仅在https页面上使用https。

2013-04-06 17:39:24 trajce

错误消息将显示在用户/浏览器的浏览器上。 [此站点]（https://security.stackexchange.com/questions/1692/is-posting-from-http-to-https-a-bad-practice）有一些解释为什么有错误消息。

假设你问谷歌的代码是如何工作的，它被称为协议相对URL。链接文件的协议将继承包含它的页面的协议。因此，如果您的网页是https，那么它会通过https发送。

您可以使用

<script src="https://ajax.googleapis.com/ajax/jquery/1.8.3/jquery.min.js"></script>

或删除 “https：” 开头，并且具有通过HTTPS发送的JS，提供你的网页是HTTPS。

2013-04-06 21:01:21 cdilga

回答