开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么使用我的子域URL会显示不安全的HTTPS，而不是正常的域URL？

问题分析

当你使用子域URL时显示不安全的HTTPS，而不是正常的域URL，这通常涉及到SSL/TLS证书的配置问题。SSL/TLS证书用于加密网站数据传输，确保数据在传输过程中不被窃取或篡改。

原因分析

证书未正确安装：子域可能没有正确安装SSL/TLS证书。
证书不匹配：子域使用的证书可能不匹配其域名。
中间证书问题：有时服务器可能没有正确配置中间证书，导致浏览器无法验证证书链。
DNS配置问题：DNS配置可能不正确，导致浏览器无法正确解析子域。
服务器配置问题：服务器配置可能不正确，导致无法正确处理子域的HTTPS请求。

解决方案

1. 检查证书安装

确保子域的SSL/TLS证书已正确安装。你可以使用在线工具如SSL Labs来检查证书的安装情况。

2. 确保证书匹配

确保子域使用的证书与其域名完全匹配。如果使用的是通配符证书，确保子域符合通配符的范围。

3. 配置中间证书

有时服务器可能没有正确配置中间证书。确保所有必要的中间证书都已安装并正确配置。

4. 检查DNS配置

确保DNS配置正确，子域能够正确解析到服务器IP地址。

5. 检查服务器配置

确保服务器配置正确，能够正确处理子域的HTTPS请求。以下是一个Nginx配置示例：

server {
    listen 80;
    server_name subdomain.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name subdomain.yourdomain.com;

    ssl_certificate /path/to/your/certificate.crt;
    ssl_certificate_key /path/to/your/private.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
    ssl_prefer_server_ciphers on;

    location / {
        root /path/to/your/website;
        index index.html index.htm;
    }
}

参考链接

通过以上步骤，你应该能够解决子域URL显示不安全的HTTPS的问题。如果问题仍然存在，建议进一步检查服务器日志和浏览器控制台中的错误信息，以便更精确地定位问题。

相关搜索:多个域的IIS url重写为https，但不是所有域使用ColdFusion获取URL的子域 Nginx中托管的多个Docker容器使用URL而不是子域重定向到https，但仅重定向到特定的域/子域和特定的url 使用同一域名上的Django租户，而不是子域或多个域 Django - Social Auth (请求URL显示的是http而不是https)如何创建显示我的供应商主页URL的URL框架，而不是显示我的网站？Ngnix使用参数将子域掩码到来自另一个子域的URL 为什么wordpress会输出带有%pagename%而不是路径的规范URL？Apache2.4重写目录URL，不使用https://default_site/dir/结尾的斜杠，而不是保留域如何在express中使用带有完整url或子域的get方法？为什么我的输入(type=text)会自动在URL中显示#在不更改url的情况下使用另一个子域访问同一子域 Grafana正在使用基本URL : http://localhost:3000生成链接，而不是使用我的url Rails3:重写url_for以获得子域支持,如何扩展动作邮件程序以使用这样的url_for 为什么我必须在指针上使用free而不是正常的声明？为什么我的模式会显示所有的照片而不是一张？如何修复使用iis url重写将一个域重定向到另一个域时出现的https警告？是否可以使用我的域作为Google Cloud Storage Bucket中公开可用的对象的URL？为什么我的控制器会这样显示{{ message }}，而不是实际配置的消息

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Cypress web自动化20-跨域问题-a标签超链接

之前使用 selenium 的时候，不用关心这种问题，a标签点击后会跳转到另外一个web页面，正常使用。...cypress上对web的安全性上考虑的更严格，对于跨域的链接会认为是不安全的，相关的资料查阅https://docs.cypress.io/guides/guides/web-security.html... 本来我的项目部署在 http://localhost:8000，但是这个链接是 https://www.cnblogs.com，接下来看使用 cypress 脚本点击会发生什么情况 // #...原始HTTP请求仍然发出一次，暴露了不安全的会话信息。解决办法：只需更新HTML或JavaScript代码，不导航到不安全的HTTP页面，而是只使用HTTPS。...设置chromeWebSecurity为false允许你做以下事情：显示不安全的内容导航到任何超域没有跨域错误访问嵌入到应用程序中的跨域iframe。

3.2K2 0

html5中如何解决canvas图片跨域问题-canvas无法导入远程图片

而主页面所在域名往往不一样，当需要需要对 canvas 图片进行 getImageData() 或toDataURL()操作的时候，跨域问题就出来了，而且跨域问题还不止一层。...二、canvas图片getImageData cross-origin跨域问题对于跨域的图片，只要能够在网页中正常显示出来，就可以使用 canvas 的drawImage() API绘制出来。...如果不说，可能对方在衣服里放个窃听器什么的，就不安全了，浏览器就会阻止。五、IE10浏览器不支持crossOrigin怎么办？...我们请求图片的时候，不是直接通过new Image()，而是借助ajax和URL.createObjectURL()方法曲线救国。...根据，根据实践发现，在IE浏览器下，如果请求的图片过大，几千像素那种，图片会加载失败，我猜是超过了blob尺寸限制。

2.7K6 0

绕过混合内容警告 - 在安全的页面加载不安全的内容

考虑一点： IE/Edge (和其他浏览器) 拒绝从安全的域(HTTPS)加载不安全的内容 (HTTP) . 现代浏览器默认情况下不会渲染混合内容（来自安全站点的不安全数据）。...如果我们浏览 HTTPS 网页，浏览器会拒绝加载不安全的内容（例如，里面有个 banner 的HTTP iframe）。...Edge 还会阻止内容，但除非用户使用 devtools-console 窗口查看，否则不会显示警告。此外，如果不安全的内容来自 iframe，则会显示混乱的错误信息。 ?...之前我们知道了在没有用户交互的情况下渲染内容的规则（image 标签）存在着例外情况，我尝试加载源是图像的 IFRAME （而不是 IMG），但并没有成功。...最后，我决定使用常规 IFRAME ，但是通过使用服务器重定向而不是直接使用不安全的 URL 设置其 location 属性。这似乎有效，内容终于加载上了。

3.2K7 0

基于qiankun落地部署微前端爬”坑“记

上面是一个通过域名访问子应用的示意图，接下来我们看看一个view视图，header头部和sideMenu左侧菜单是属于portal门户的，而右侧区域则是显示切换子应用的视图，预期效果：当我们访问dev.portal.com...基座 https://dev.portal.com/ 获子应用a的资源 https://dev.monitor.com/a的资源，根据浏览器同源策略(浏览器采用同源策略,禁止页面加载或执行与自身来源不同的域的任何脚本...)应该获取不到吧，明显跨域 ❞ 答案：是，由于 qiankun 是通过 fetch 去获取子应用注册时配置的静态资源url，所有静态资源必须是支持跨域的，那就得设置允许源了，简单的设置可以看下面 ?...啊明同学：我之前a应用是单独运行部署的，我通过qiankun集成到基座portal中会有影响吗？ ❞ 答案：使用这个全局变量来区分当前是否运行在 qiankun 的主应用中那就是： window....啊宇同学：我看你访问的路由模式不是hash，而是history模式，那你是怎么解决当页面刷新404问题？

3.8K2 0

django 1.8 官方文档翻译： 3-6-2 内建的中间件

如果这个新的URL存在于URLconf，这时Django会重定向请求到这个新URL上，否则，一开始的URL按正常情况处理。...强烈推荐这样做（假设所有子域完全使用HTTPS），否则你的站点仍旧有可能由于子域的不安全连接而受到攻击。警告 HSTS策略在你的整个域中都被应用，不仅仅是你所设置协议头的响应中的url。...所以，如果你的整个域都设置为HTTPS only，你应该只使用HSTS策略。...虽然这样有助于配置不当的服务器正常显示内容，但也会导致安全问题。...SSL重定向如果你同时提供HTTP和HTTPS连接，大多数用户会默认使用不安全的（HTTP）链接。为了更高的安全性，你应该讲所有HTTP连接重定向到HTTP连接。

9643 0

前端面经（2）

：实例被销毁前，此时可以手动销毁一些方法 destroyeddata为什么是一个函数而不是对象因为对象是一个引用数据类型，如果data是一个对象的情况下会造成所有组件共用一个data。...使用path来匹配路由，然后通过query来传递参数，这种情况下 query传递的参数会显示在url路由的两种模式 hash与history 对于Vue 这类渐进式前端开发框架，为了构建SPA(单页面应用...显示器显示内容5. 最后断开连接：TCP 四次挥手Http和Https区别(高频)1.`HTTP` 是不安全的，而 HTTPS 是安全的2....`HTTP` 标准端口是80 ，而 HTTPS 的标准端口是4433.`HTTP` 无法加密，而HTTPS 对传输的数据进行加密4....`HTTP`无需证书，而HTTPS 需要CA的SSL证书GET和POST区别(高频)1.GET在浏览器回退不会再次请求，POST会再次提交请求2.GET请求会被浏览器主动缓存，POST不会，要手动设置3

1.2K6 0

基于qiankun落地部署微前端爬”坑“记

往下看实操上面是一个通过域名访问子应用的示意图，接下来我们看看一个view视图，header头部和sideMenu左侧菜单是属于portal门户的，而右侧区域则是显示切换子应用的视图，预期效果：当我们访问...基座 https://dev.portal.com/ 获子应用a的资源 https://dev.monitor.com/a的资源，根据浏览器同源策略(浏览器采用同源策略,禁止页面加载或执行与自身来源不同的域的任何脚本...)应该获取不到吧，明显跨域 ❞ 答案：是，由于 qiankun 是通过 fetch 去获取子应用注册时配置的静态资源url，所有静态资源必须是支持跨域的，那就得设置允许源了，简单的设置可以看下面 image.png...啊明同学：我之前a应用是单独运行部署的，我通过qiankun集成到基座portal中会有影响吗？ ❞ 答案：使用这个全局变量来区分当前是否运行在 qiankun 的主应用中那就是： window....啊宇同学：我看你访问的路由模式不是hash，而是history模式，那你是怎么解决当页面刷新404问题？

2K2 3

安全研究 | 由postMessage导致Facebook账户劫持的DOM XSS

利用第一个漏洞可以通过postMessage方式从facebook.com网站中发送跨域（cross-origin）消息，存在漏洞的路径会接收攻击者在请求参数中构造的控制内容，同时会以postMessage...）图中的目标域为our.intern.facebook.com，该域名一般都为Facebook内部使用，因此从其信息来看，里面的postMessage方法貌似仅是提供给Facebook内部员工请求使用的...基于此，我觉得在一些内置消息监听器（message EventListeners）且能接收facebook.com子域消息的网页页面，该漏洞就可派上用场，只有在这类接收facebook.com子域消息的页面中...如果其’appTabUrl’的URL链接以http/https开头，则后台不会对该URL进行安全验证，因此，我们可以在此引入JS等其它形式触发XSS！...于是，我最终构造了一个满足page_proxy页面要求，且会创建一个对象的Payload： https://our.alpha.facebook.com/payments/redirect.php?

8581 0

iOS 9不能访问HTTP的解决方法

在iOS 9之后，苹果默认要求App访问的url必须为https的安全链接，http链接确实是不安全的，如果在开发过程中请求失败，控制台显示http不安全要用https之类的信息的话，那就是由于这个原因了...但是由于并非所有开发者都会去申请HTTPS证书来支持HTTPS访问，所以还是可以进行设置来正常访问HTTP的，方法如下：在Xcode工程中找到Info.plist文件，做iOS开发的应该都了解这是一个做一些应用配置的文件...这样就可以了，效果如下：此时再进行HTTP的网络请求就可以成功了，但同时也就得不到评估偶的安全保障了，从根本上来说，能上HTTPS的话，还是尽量上HTTPS，会更安全一些。...不过除了自己的请求之外，可能工程内用到的一些第三方库也有网络请求而同样没有上HTTPS的，这个时候如果不想一刀切允许HTTP的话，对于实在不支持HTTPS的，可以使用添加例外的方式。...，根据自己需要的域名去修改， NSIncludeSubdomains 顾名思义是包括子域的意思，这样就可以对这些域名单独去开放HTTP请求了，而自身应用的其他请求还是保持HTTPS的安全方式。

1.6K1 0

浅入深出的微前端MicroApp

01 前言在今年的敏捷团队建设中，我通过Suite执行器实现了一键自动化单元测试。Juint除了Suite执行器还有哪些执行器呢？由此我的Runner探索之旅开始了！...本文是由作者最近做的一个项目有感而发，因为之前做了一些技术栈的统一，为了用ant Design的pro-table，PC统一使用react，但是有一些老的项目是vue的，本次新页面较多，老页面的改动较少...，所以微前端不是指具体的库，不是指具体的框架，不是指具体的工具，而是一种理想与架构模式，微前端的核心三大原则：独立运行、独立部署、独立开发。...接入完成不代表子应用里面所有的模块都能用了，此时还需要检查导出和导入的接口是获取域名里面的还是单独定义的，如果获取域名里面的前缀，此时导入导出不能正常使用，需要重新给导入导出单独定义，比如在子应用创建一个单独的...，这样很不安全。

1.9K1 0

asp.net core 系列之允许跨域访问(Enable Cross-Origin Requests:CORS)

允许跨域，会让API更不安全允许一个服务明确的允许一些跨域请求，而拒绝另外一些比早些的技术（例如JSONP）更安全，更灵活 1.那么同源指的是什么呢如果两个URLs是同源的，那么它们有相同的协议，...不同的子域名 http://example.com/foo.html – Different scheme　　不同的协议 https://example.com:9000/foo.html – Different...即可以只设置选择的终端，而不是所有的终端....这里不同于上面的那种方式，上面的方式是应用的所有终端都会被设置允许跨域；而这里只是设置了[EnableCors]属性的终端；使用[EnableCors]来指定默认的策略，而[EnableCors("...，而不是在相同的应用中使用两个下面的代码给每个方法使用了一种策略 [Route("api/[controller]")] [ApiController] public class WidgetController

3.6K1 0

Javascript中的url编码与解码(详解)

又如，Url的编码格式采用的是ASCII码，而不是Unicode，这也就是说你不能在Url中包含任何非ASCII字符，例如中文。...之前在使用Aptana（为什么专指aptana下面会提到）遇到一个很迷惑的问题，就是在使用encodeURI的时候，发现它编码得到的结果和我想的很不一样。下面是我的示例代码：不是使用UTF-8字符集进行Url编码得到的结果（在Google上搜索“中文”，Url中显示的是%E4%B8%AD%E6%96%87）。...所以我当时就很质疑，难道encodeURI还跟页面编码有关，但是我发现，正常情况下，如果你使用gb2312进行Url编码也不会得到这个结果的才是。...另外，很多HTTP监视工具或者浏览器地址栏等在显示Url的时候会自动将Url进行一次解码（使用UTF-8字符集），这就是为什么当你在Firefox中访问Google搜索中文的时候，地址栏显示的Url包含中文的缘故

2.9K9 0

【Web技术】424- 那些年曾谈起的跨域

为什么会导致跨域？遇到跨域又怎么去解决呢？本文会对这些问题一一的介绍。...从上图中能够清晰的看出url中每个部分的含义： protocol：协议常用的协议是http auth：验证，因为明文传输用户名和密码，非HTTPS环境下很不安全，一般用的非常少。...用JSONP抓到的资料并不是JSON，而是任意的JavaScript，用JavaScript直译器执行而不是用JSON解析器解析。...可以在控制台输出一下，得到的则是segmentfault.com这个域名。我在项目中所用到的则是结合iframe的时候遇到的跨域，并使用的domain解决的。...以下示例没有使用HTML5的WebSocket而是使用的socket.io完成类似的功能操作。若若的说一句：其实我一直以为WebSocket与Ajax一样是受同源策略限制的，经过学习才发现不是的。

5831 0

跨域是个什么鬼

只要请求的 url 有以下不同，都属于“跨域”：协议: http, https, ... 域名端口有人可能会觉得，我自己网站肯定只访问自己服务器，肯定都是部署在一个域名的呀。...为什么会有跨域我们常说的“跨域”问题，其实是在说“跨域”访问的限制问题，相信大家对下面的报错习以为常了：这种“跨域”限制其实是浏览器自带的安全机制，只有在浏览器上发生跨域请求操作时，浏览器就会自动抛出上面的错误...而当 CORS 请求为非简单请求时，浏览器会先发一个 OPTIONS 预检（preflight）请求，这个请求会检查如下字段： Access-Control-Request-Method：指定可访问的方法...跨域场景 “跨域”不仅存在于接口访问，还会有以下场景：前端访问跨域 URL，最常见的场景，需要后端添加 cors 的返回字段微前端：主应用和子应用之间的资源访问可能存在“跨域”操作，需要子应用/主应用添加...在以前，开发者会用 JSONP 这种通过生成一个 script 标签，自动发起 GET 请求的方式来解决跨域，但是这种方式非常不安全，不推荐。

4302 0

从一道CTF学习Service Worker的利用

，而登陆时，会以GET请求传入用户名和密码： https://auth.hardxss.xhlj.wetolink.com/api/loginVerify?...变量覆盖和DOM XSS 仔细查看login处的js代码，可以发现一处dom xss：首先，注意到 jsonp 函数会创建 script 标签，并使用 https://auth.hardxss.xhlj.wetolink.com...，而登录的域名是auth.hardxss.xhlj.wetolink.com，登录和打开链接是在不同的域名，并且需要盗取的信息在请求中而不是在cookie中。...callback=xxx，我们只能劫持受害者在https://auth.hardxss.xhlj.wetolink.com/api/的子域下的请求；而用户登陆的url为https://auth.hardxss.xhlj.wetolink.com...注意到跨域页面上只有一个光秃秃的跨域操作，并没有其他操作，但作为媒介用以设置其子域-登录验证api上的SW脚本（设置脚本时访问的是跨域页面而没有访问劫持页面）利用条件：1.baidu.com上发现了XSS

1.2K4 0

Http 协议

name=huyanshi#top 在上面这个url中: http:指定所用的协议，原先为http，最近大部分网站都已经使用更加安全的https。...安全性：对于服务器的安全性：GET请求只用于获取数据，不会修改服务器资源，因此对于服务器而言GET方法是安全的，而POst会提交一部分数据，服务器根据数据对资源进行修改，因此对于服务器而言Post方法不安全...对于用户的安全性：GET方法将请求参数放在URL里进行明文传输，如果参数中包含密码，手机号码等内容会直接显示并且所有人可见，并且Url会及谁来浏览器中。...大多数的区别都是“语义”区别而不是“语法”区别就像你也可以用GET来提交一个参数，而用POST方法查询一个数据，但是这样会造成语义混乱！千万不要！...id=222 使用这个URL查看一条微博，应该用GET请求，这样你分享给别人，别人访问这个URL就可以看到这条微博。而如果使用POST，别人拿到这条URL是“www.weibo.com”，毫无意义。

4893 0

html学习

--只有1-6级标签，设置h7会不识别，而当作普通文字进行解析--> p 划分段落，自动在段前段后自动加空行 align段落的对齐方式，默认为居左 hr 分隔符标签，会在页面上显示一条分割线 size属性.../表示本层第二种互联网路径必须在前面加上https:// alt属性：图片无法显示的时候显示的文字 width height 可以是400也可以是百分比，百分比是父标签的百分比...属性：高度超链接标签 a 超链接标签连接的空间可以不经过对方允许，直接打开防盗设置超链接是无法直接访问的，当你访问该页面时，我会进行先行判断，先获取你的上一个链接地址，判断这上一个链接地址是不是从我当前的服务器内部发起的...，如果是，可以正常访问；如果不是，给你一个指定的页面，项目首页。...，不设置name属性，如果按钮本身就是作为提交功能的出发，那么就不需要设置name属性使用url编码主要解决的是中文和特殊符号，以防止数据读取会少的问题更好的区分name和value不至于将他们切割开

1.5K1 0

使用 Tampermonkey 编写高级跨网站自动化任务脚本

，或造成不安全隐患。...@connect：此标记定义脚本链接的域（没有顶级域），包括允许由 GM_xmlhttpRequest 检索的子域。...// @connect value value 可以是以下几个值：域可以是：tampermokey.net（可以允许子域名），子域名如：safari.tampermokey.net self：列出脚本当前运行的域...通过这样做，Tampermonkey 仍然会询问用户是否允许下一个连接到未提及的域，但也会提供一个“总是允许所有域”按钮。如果用户单击此按钮，则将自动允许所有未来的请求。...GM_setClipboard // @grant unsafeWindow // @grant window.close // @grant window.focus @noframes：这个标签表明脚本在主页面上运行，而不是在

5.2K1 0

Vue插槽详解 | 什么是插槽？

> 在父组件中引用子组件中写入想要得显示内容子组件slotda 我是slotda组件在子组件中写入slot，所在位置就是父组件要显示得内容 // 父组件我是父组件 <p style="color...file 你好组件之间得内容没有显示，使用插槽就有显示了，看看如何用： Vue.component('child-component...> // 部分不能访问 url 父组件模板的所有东西都会在父级作用域内编译；子组件模板的所有东西都会在子级作用域内编译。...-- 这里的 `url` 会是 undefined，因为 "/profile" 是 _传递给_ 的而不是在组件*内部

2.4K2 0

一文看懂Cookie奥秘

“为什么要提第三方cookie，这与下面的cookie的SameSite策略密切相关。...Domain指定哪些host能被种植该cookie，如果没有指定，默认是当前document location所在的host，不包含子域；如果指定了Domain，那么包括子域。...例如设置了Domain=bat.com，那么类似于developer.bat.com下的url请求都会种下该cookie. Path 指定能携带该cookie的具体url。"...发送cookie的物理安全 Secure指定了发送cookie的物理安全：要求以HTTPS形式回发cookie “Chrome52+、Firefox52+已经支持Secure指令，再使用http请求已经不会携带...即便是Secure指令，敏感信息也不要放在cookie中，因为他们天生就不安全，https并不能提供足够有效的安全防护。谁能访问cookie？

1.6K5 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭