有好几次我发现网站访问者由于资源被页面不安全地加载而被https页面中的浏览器警告消息吓跑了。这是特别灾难性的,因为它没有明显的后端错误,也没有客户端的JavaScript错误,可以捕获... ...杀死注册或付款页面的转换率...如何在没有任何浏览器警告的情况下验证安全的https页面加载?
有一个相对简单的问题的图像/ css/js文件与http协议中的绝对url链接。但是,我也遇到过这样的https警告,这是由于像plusone这样的社交插件引起的,它在iframe(它有一个https src)内可能会偶尔加载不安全的资源。
因此,我想知道是否有任何简单和优雅的方式来自动检查安全页面,可以验证它们是否会在没有任何https警告的情况下在实际浏览器中加载。
我认为最好的方法是在本地设置https(使用自签名证书),并在不同浏览器中浏览本网站。
另一种方法是使用PhantomJS等无头浏览器获取页面,并遍历所有链接,iframe和子文档并更改源代码。
您对浏览器警告的影响是正确的 - 当错误导致SSL页面生成浏览器警告时,我看到转换率急剧下降(在电子商务网站上有过期证书的高达90%。 ..)。
这一切都取决于你的开发过程中,但我已经设置了在过去是: - 私人测试环境中,托管在直播现场 的子域 - 所有的“通配符” SSL证书顶级域名,部署到现场和测试环境 - 自动,定期部署“工作进行中”代码到测试环境 - 自动脚本测试,通过站点关注关键用户旅程(在我们的案例中使用Selenium) - 关键用户旅程中的任何步骤的浏览器警告时的电子邮件通知
此过程通常称为“持续集成“,虽然它需要一些努力来设置,但它阻止了”哎呀,我们部署了一个更新,它破坏了网站,我们只是发现了,因为没有人再在线购买我们的小部件...“综合症。
你可以通过你的网页源代码搜索'http://'并用相对链接替换所有的绝对链接,但我不认为会有方法来测试iframe的源代码。 – 2012-01-01 23:31:18