Habe "Geblockt laden von gemischten aktiven Inhalten" auf HTTP website

Problem

Ich entwickle eine website, serviert mit HTTP-Protokoll. In der Entwicklung, ich benutze Webpack mit der webpack-dev-server, der dazu dient die Seite lokal auf http://localhost:9090.

War ich überrascht zu sehen, im Firefox-58-Konsole die folgenden gemischter Inhalt Fehlermeldung, laden Sie die schriftart-Datei. Es ist komisch für mich, denn die Seite wird serviert, mit HTTP, nicht HTTPS, und ich dachte, mixed content Fehler beschränkt sich nur auf HTTPS-Seiten.

`Blocked loading mixed active content “http://localhost:9090/b1aa06d82e70bbd5a14259a94c9bbb40.ttf”

Fand ich heraus, dass die Quelle des Fehlers ist YouTube video eingebettet in eine <iframe> auf der Seite (<iframe src="https://www.youtube.com/embed/...>). Sobald ich entfernen Sie die YouTube-einbetten, die Fehlermeldung verschwindet von der Konsole aus.

Verstehe ich nicht, dieses Verhalten, denn es ist nicht verschachtelt HTTPS-iframe, das macht diese Anfrage, aber die äußeren HTTP-Seite (top-level browsing context)!

Zusammenfassung

Der äußeren Seite (top-level browsing context) serviert mit HTTP. Nur der eingebetteten iframe-Zugriff mit HTTPS. Die HTTP-Anforderung für eine schriftart-Datei, die auf der äußeren Seite macht (nicht das eingebettete iframe) erzeugt gemischte Inhalte Fehler in Firefox 58 Konsole.

Code-Beispiele

Geben ein Beispiel erstellte ich 2 Stifte auf Plunker serviert, der über HTTP und Importe (die Plunker Website selbst, nicht mein code) WOFF-font-Font-Awesome-über-HTTP.

Beispiel Mit Fehler, die YouTube-iframe eingebettet, die über HTTPS, produziert den folgenden Fehler im Firefox-58-Konsole: Blocked loading mixed active content “http://plnkr.co/css/font/Font-Awesome-More.woff”.

Beispiel Ohne Fehler, das ist der gleiche code nur mit den iframe entfernt, produziert keine Fehler.

Fragen

  • Wie kann Sie eine gemischte Inhalte auf der Seite geladen, per HTTP-Protokoll? Ich dachte gemischte Inhalte können nur existieren Webseiten, die über HTTPS geladen. Bedeutet dass eine resource über HTTPS (wie es von YouTube einbetten) macht alle erforderlichen Inhalte über HTTP mixed content?
  • Wie kann ich den Fehler beheben? Ich Plane nicht, zu dienen, die website über HTTPS und ich will, dass meine Schriftarten zu laden ordentlich auf die Produktion HTTP-server.
  • Die <iframe src="https://www.youtube.com/embed/...> ist ein separates Dokument — HTTPS — und den mixed-content-Fehler ist vermutlich über das Dokument, richtig?
  • Nein, das wäre sinnvoll, aber die Fehler sind über die Anforderungen von meinem Haupt-HTML-Datei - font-Dateien, die angefordert von meinem "lokalen" stylesheets.
InformationsquelleAutor Robert Kusznier | 2017-11-28
  1. 9

    Scheint es, dass Firefox-caches Schriften und versucht, führen Sie eine Anforderung an den Cache-schriftart, die durch die Nutzung der URL der schriftart war ursprünglich ausgeliefert.
    Das führt zu der mixed-content-Fehler.

    Sah ich, dass problem mit font awesome Schriftarten, wenn ich entwickelte eine web-Anwendung auf dem server mit HTTPS, die ich entwickelt hatte, die auf einem lokalen server unter HTTP. Bei der Anforderung der remote-site, Firefox meldet:

    Blocked loading mixed active content “http://localhost:8080/fontawesome-webfont.woff2”

    Das hat mich beeindruckt, weil es keine Anforderung an localhost programmiert, dass die web-Anwendung.

    In deinem Beispiel die schriftart geladen wird, indem

    http://plnkr.co/css/apps/editor-1.6.1.css

    ist url(../font/Font-Awesome-More.woff)

    Einer der CSS oder Skripte geladen werden, die von der iframe muss dann versuchen, laden, dass die Schrift vielleicht wieder mit einem dynamisch konstruierten URL.

    Ich weiß nicht, etwas über das Schrift-caching-Strategie, umgesetzt im Firefox - vielleicht erkennen Sie die schriftart, indem Sie seinen Namen - aber eine Lösung fand ich für meinem Fall ist, "Vergessen Sie Über Diese Seite" localhost " in der Geschichte von Firefox.

    Eine Lösung für Ihren Fall sein könnte, zu wechseln HTTPS

    • Leider ist der Wechsel zu HTTPS ist nicht möglich in meinem Fall. Und ich glaube nicht, dass das eine wirkliche Lösung - Umstieg auf HTTPS nur, weil Sie Probleme mit dem laden völlig legal in der schriftart-Datei, die klingt wie ein großer overkill.
    • Ich sehe das gleiche in Firefox 58.0.2. In meinem Fall, das problematische Schriftarten sind nicht einmal verwiesen auf meine Seite. Meine Website ist hinter https:// wie alle externen Verweise (einschließlich Schriftarten). Wenn ich öffnen Sie die Developer Tools Webconsole, sehe ich "gemischten Inhalt" - Fehler für die Schriftarten geladen, in eine völlig andere Registerkarte. Einmal schließe ich die Registerkarte und reload meiner eigenen Website, ist der Fehler Weg. Gehen Abbildung. Trotzdem, der Webconsole, hat alle details. Wenn der Fehler nicht sichtbar ist, überprüfen Sie die Filter in der web-Konsole (wenn man Glück hat, gibt es auch einen link zum löschen der Filter).
    • Es ist etwas sehr falsch, weil ich sehe, Schriften aus völlig unabhängig Quellen...
    • Ich sehe auch Schriften aus scheinbar unabhängigen Quellen, aber definitiv nur beim Besuch von Seiten meiner Geschichte.
    InformationsquelleAutor Uwe Voigt
  2. 4

    Ich hatte das gleiche Problem. Ich gelöst, indem er eine relative Pfad anstelle einer absolute Weg.

    Seit meiner Schriften sind aufgerufen, von diesem CSS "/styles/mein.css",
    und meine Schriften waren, das in der "/fonts/Open_Sans..."

    Vorher (mit FF-Fehler):

    @font-face {
  font-family: "Open Sans";
  src: url("/fonts/Open_Sans/OpenSans-Light.woff2") format("woff2"),
  url("/fonts/Open_Sans/OpenSans-Light.woff") format("woff");
  font-weight: 300;
}

    Nach (ohne FF-Fehler):

    @font-face {
  font-family: "Open Sans";
  src: url("../fonts/Open_Sans/OpenSans-Light.woff2") format("woff2"),
  url("../fonts/Open_Sans/OpenSans-Light.woff") format("woff");
  font-weight: 300;
}
    InformationsquelleAutor bit-less
  3. 0

    Da Sie Probleme bei Firefox ist Ende, Folgen Sie der jeweiligen Dokumentation,
    Wie fix eine website mit blockiert gemischte Inhalte:

    , Wie zu beheben Ihre websiteEdit

    Die beste Strategie zur Vermeidung von mixed-content-blocking ist zu dienen alle
    Inhalte, wie Sie HTTPS anstelle von HTTP.

    Für Ihre eigene domain, dienen alle Inhalte wie HTTPS und fixieren Sie Ihre links.
    Oft ist die HTTPS-version der content bereits vorhanden ist und diese nur
    erfordert das hinzufügen eines "s" links - http://zu https://.

    In einigen Fällen jedoch, kann der Pfad einfach falsch an die Medien
    Frage. Es gibt sowohl online als auch offline-tools (je nach
    Betriebssystem), wie z.B. linkchecker zu helfen, dieses Problem beheben.

    Für andere domains, die Webseite nutzen, die HTTPS-version, wenn verfügbar. Wenn HTTPS
    nicht verfügbar ist, können Sie versuchen, Kontakt mit der domain und bitten Sie Sie, wenn
    Sie können die Inhalte via HTTPS verfügbar.

    • Ich habe gelesen, dass Artikel, aber ich möchte nicht zum konfigurieren der meine ganze Website für HTTPS, nur weil eine Ressource (YouTube iframe) verwendet HTTPS. Ich verstehe die Sicherheitslücke aus, die Sie erstellen, wenn Sie versuchen, Zugriff auf Ressourcen, die von der HTTP-auf die HTTPS-website, aber meine website ist serviert, der mit HTTP (also nicht geltend machen, dass es völlig sicher ist) und das ganze blockiert scheint lächerlich zu mir.
    • Es gibt auch keine mixed-content, es ist eine einfache HTTP-site. Es ist kein HTTPS.
    InformationsquelleAutor noogui
  4. 0

    Ich auf dieses problem als Ergebnis meiner live-und staging-Server HTTPS, und meine lokalen/dev kopieren sein HTTP.

    Ich löste es durch die Erzeugung mein CSS dynamisch, und die Verwendung von inline - data: Schriften in der CSS, anstatt die URL-Verweise. Diese entfernt alle URL-Informationen, die einer schriftart zugeordnet, und so werden mögliche cross-site-cache-Kontamination.

    In meinem Fall habe ich benutzt PHP, aber das könnte sich zu einem beliebigen server-side-Sprache.

    <?php
//Declare this as a CSS file for the browser
header('Content-type: text/css');

/*
 * Respond with 304 if the content was served recently
 *
 * The logic here is:
 *
 * We get a IMS date in the request e.g. 21:00 (Then)
 * We look at the current time e.g. 21:30 (Now)
 *
 * So (Now - Then) must be < 60 * 60
 */
if(isset($_SERVER['HTTP_IF_MODIFIED_SINCE']))
{
    $thenTime = strtotime($_SERVER['HTTP_IF_MODIFIED_SINCE']);
    if(time() - $thenTime < 60 * 60)
    {
        header('HTTP/1.1 304 Not Modified');
        exit;
    }
}

//Tell the client the resource was modified on the last hour
$modifiedDate = gmdate('D, d M Y H:00:00 T', time());
header('Last-Modified: ' . $modifiedDate);

?>
@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 300;
  src: local('Open Sans Light'),
       local('OpenSans-Light'),
       url(data:application/x-font-woff;charset=utf-8;base64,<?php echo base64font('open-sans-light.woff') ?>) format('woff');
}

@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 400;
  src: local('Open Sans'),
       local('OpenSans'),
        url(data:application/x-font-woff;charset=utf-8;base64,<?php echo base64font('open-sans-normal.woff') ?>) format('woff');
}

<?php

function base64font($file)
{
    $fontFolder = realpath(__DIR__ . '/../fonts');
    $data = file_get_contents($fontFolder . '/' . $file);
    $base64 = base64_encode($data);

    return $base64;
}

    Ich habe den 304-header-kick, wenn die Kopie bereits an den browser bereitgestellt wird letzten. Sie müssen nicht zu haben, aber es wird die Leistung verbessert, wenn Sie tun. Schrift-Definitionen, die nur selten ändern, so können Sie diese Verzögerung länger auf high-traffic-sites.

    InformationsquelleAutor halfer
Schreibe einen Kommentar