«Смешанное содержимое заблокировано» при выполнении операции HTTP AJAX на странице HTTPS.

Question 1

У меня есть форма, которую я отправляю (через GET, как это требуется) в crm (ViciDial). Я могу успешно отправить форму, однако, если я это сделаю, файл обработки в crm просто отобразит текст успеха, и все.

Вместо этого текста я хочу отобразить страницу с благодарностью на своем веб-сайте, поэтому я решил использовать AJAX для отправки формы и перенаправления ее на нужную мне страницу, однако в моем браузере появляется эта ошибка:

Смешанный контент: страница https://page.com была загружена по HTTPS, но запросила небезопасную конечную точку XMLHttpRequest http://XX.XXX.XX.XXX/vicidial/non_agent_api.php?queries=query=data '. Этот запрос был заблокирован; контент должен обслуживаться по HTTPS.

Это мой сценарий AJAX:

    <script>
    SubmitFormClickToCall = function(){

        jQuery.ajax({
            url: "http://XX.XXX.XX.XX/vicidial/non_agent_api.php",
            data : jQuery("#form-click-to-call").serialize(),
            type : "GET",
            processData: false,
            contentType: false,
            success: function(data){
                window.location.href = "https://www.example.com/thank-you";
            }
        });
    }
    </script>

Простая установка https в URL-адресе не сработает, есть ли способ отправить данные через GET и перенаправить пользователя на мою страницу благодарности?

============================

Проблема здесь была в смешанном содержимом, это означает, что я загрузил страницу через HTTPS и пытался через AJAX использовать API, который был в HTTP. Но браузер не позволяет нам просто делать это.

Поэтому, если вы не можете настроить API на HTTPS (это был мой случай), мы все равно можем подойти к этому по-другому.

Основная проблема заключалась не в смешанном содержании, а в том, что я хотел отправить данные в API и перенаправить пользователей на красивую страницу с благодарностью. Вместо использования AJAX я создал файл php, который получает данные, отправляет их с помощью curl в API (поскольку это делается на стороне сервера, нет проблем со смешанным содержимым) и перенаправляет моего счастливого пользователя на красивую страницу с благодарностью.

Question 2

Если вы загрузите страницу в своем браузере с использованием HTTPS, браузер откажется загружать любые ресурсы по HTTP. Как вы уже пытались, изменение URL-адреса API на HTTPS вместо HTTP обычно решает эту проблему . Однако ваш API не должен разрешать HTTPS-соединения. Из-за этого вы должны либо принудительно использовать HTTP на главной странице, либо запросить разрешение HTTPS-соединений.

Примечание по этому поводу: запрос по-прежнему будет работать, если вы перейдете по URL-адресу API, а не попытаетесь загрузить его с помощью AJAX. Это связано с тем, что браузер не загружает ресурс из защищенной страницы, а загружает небезопасную страницу и принимает это. Однако для того, чтобы он был доступен через AJAX, протоколы должны совпадать.

Question 3

Я решил это, добавив следующий код на HTML-страницу, поскольку мы используем сторонний API, который не контролируется нами.

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Надеюсь, это поможет, и для записи тоже.

Question 4

Если вы просто посещаете веб-страницу, которой доверяете, и хотите быстро двигаться вперед, просто:

1- Щелкните значок щита в правом углу адресной строки.

2- Во всплывающем окне нажмите «Все равно загрузить» или «Загрузить небезопасный скрипт» (в зависимости от версии Chrome).

Если вы хотите настроить браузер Chrome на ВСЕГДА (на всех веб-страницах), разрешать смешанный контент:

1. В открытом браузере Chrome нажмите Ctrl + Shift + Q на клавиатуре, чтобы принудительно закрыть Chrome. Перед выполнением следующих действий необходимо полностью закрыть Chrome.

2- Щелкните правой кнопкой мыши значок Google Chrome на рабочем столе (или ссылку в меню «Пуск»). Выберите Свойства.

3- В конце существующей информации в поле «Цель» добавьте: «--allow-running-insecure-content» (перед первым тире есть пробел).

4- Щелкните ОК.

5- Откройте Chrome и попробуйте запустить ранее заблокированный контент. Теперь он должен работать.

Question 5

Причина этой ошибки очень проста. Ваш AJAX пытается вызвать через HTTP, тогда как ваш сервер работает через HTTPS, поэтому ваш сервер запрещает вызов вашего AJAX. Это можно исправить, добавив следующую строку в тег заголовка вашего основного HTML-файла:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Question 6

Если ваш код API работает на сервере node.js, вам нужно сосредоточить свое внимание на нем, а не на Apache или NGINX. Микель прав, изменение URL-адреса API на HTTPS - это ответ, но если ваш API вызывает сервер node.js, его лучше настроить для HTTPS! И, конечно же, сервер node.js может быть на любом неиспользуемом порту, это не обязательно должен быть порт 443.

Question 7

Вместо использования метода Ajax Post вы можете использовать динамическую форму вместе с element. Он будет работать, даже если страница загружена с использованием SSL, а отправленный источник не является SSL.

Вам необходимо установить значение value элемента формы.

Фактически новая динамическая форма откроется как режим без SSL на отдельной вкладке браузера, если целевой атрибут установлен '_blank'

var f = document.createElement('form');
f.action='http://XX.XXX.XX.XX/vicidial/non_agent_api.php';
f.method='POST';
//f.target='_blank';
//f.enctype="multipart/form-data"

var k=document.createElement('input');
k.type='hidden';k.name='CustomerID';
k.value='7299';
f.appendChild(k);



//var z=document.getElementById("FileNameId")
//z.setAttribute("name", "IDProof");
//z.setAttribute("id", "IDProof");
//f.appendChild(z);

document.body.appendChild(f);
f.submit()

Question 8

У меня была такая же проблема, но для меня проблема заключалась в команде ng build. Я делал "ng build --prod", я исправил его на "ng build --prod --base-href / applicationname /". и это решило мою проблему.

Question 9

в моем случае это был мой локальный хост httpи моя развернутая версия https, поэтому я использовал этот скрипт, чтобы добавить метатег http-Equiv только для https:

if (window.location.protocol.indexOf('https') == 0){
  var el = document.createElement('meta')
  el.setAttribute('http-equiv', 'Content-Security-Policy')
  el.setAttribute('content', 'upgrade-insecure-requests')
  document.head.append(el)
}

Answer 1

У меня есть форма, которую я отправляю (через GET, как это требуется) в crm (ViciDial). Я могу успешно отправить форму, однако, если я это сделаю, файл обработки в crm просто отобразит текст успеха, и все.

Вместо этого текста я хочу отобразить страницу с благодарностью на своем веб-сайте, поэтому я решил использовать AJAX для отправки формы и перенаправления ее на нужную мне страницу, однако в моем браузере появляется эта ошибка:

Смешанный контент: страница https://page.com была загружена по HTTPS, но запросила небезопасную конечную точку XMLHttpRequest http://XX.XXX.XX.XXX/vicidial/non_agent_api.php?queries=query=data '. Этот запрос был заблокирован; контент должен обслуживаться по HTTPS.

Это мой сценарий AJAX:

    <script>
    SubmitFormClickToCall = function(){

        jQuery.ajax({
            url: "http://XX.XXX.XX.XX/vicidial/non_agent_api.php",
            data : jQuery("#form-click-to-call").serialize(),
            type : "GET",
            processData: false,
            contentType: false,
            success: function(data){
                window.location.href = "https://www.example.com/thank-you";
            }
        });
    }
    </script>

Простая установка https в URL-адресе не сработает, есть ли способ отправить данные через GET и перенаправить пользователя на мою страницу благодарности?

============================

Проблема здесь была в смешанном содержимом, это означает, что я загрузил страницу через HTTPS и пытался через AJAX использовать API, который был в HTTP. Но браузер не позволяет нам просто делать это.

Поэтому, если вы не можете настроить API на HTTPS (это был мой случай), мы все равно можем подойти к этому по-другому.

Основная проблема заключалась не в смешанном содержании, а в том, что я хотел отправить данные в API и перенаправить пользователей на красивую страницу с благодарностью. Вместо использования AJAX я создал файл php, который получает данные, отправляет их с помощью curl в API (поскольку это делается на стороне сервера, нет проблем со смешанным содержимым) и перенаправляет моего счастливого пользователя на красивую страницу с благодарностью.

Answer 2

У вас есть безопасная версия вашего API? Вам нужно будет запросить через HTTPS, если вы используете безопасный сайт в качестве источника.

Кэмерон Тинкер

Answer 3

1

Нет, не знаю, есть ли другой способ сделать это? Я имею в виду, что запрос проходит, если просто использовать форму submit без Ajax

StormRage

Answer 4

Вы можете создать URL-адрес HTTPS в Apache для прокси-сервера XX.XXX.XX.XXчерез HTTP. Однако, если целью HTTP является защита информации пользователя, вам нужно быть осторожным, чтобы маршрут между серверами не проходил через общедоступный Интернет.

Halfer

Answer 5

93

Если вы загрузите страницу в своем браузере с использованием HTTPS, браузер откажется загружать любые ресурсы по HTTP. Как вы уже пытались, изменение URL-адреса API на HTTPS вместо HTTP обычно решает эту проблему . Однако ваш API не должен разрешать HTTPS-соединения. Из-за этого вы должны либо принудительно использовать HTTP на главной странице, либо запросить разрешение HTTPS-соединений.

Примечание по этому поводу: запрос по-прежнему будет работать, если вы перейдете по URL-адресу API, а не попытаетесь загрузить его с помощью AJAX. Это связано с тем, что браузер не загружает ресурс из защищенной страницы, а загружает небезопасную страницу и принимает это. Однако для того, чтобы он был доступен через AJAX, протоколы должны совпадать.

Микель Битсон
источник

1

Хорошо, api находится на моем сервере, есть ли какое-нибудь руководство, которому я могу следовать, чтобы сделать его https?

StormRage

1

@StormRage Совершенно верно! Какой тип сервера вы используете? Апач? Это виртуальный хостинг или частный сервер?

Mikel Bitson

@StormRage Пожалуйста, дайте мне знать, если вам понадобится дополнительная помощь. В противном случае голосование будет стимулировать общественную помощь, которую вы получаете здесь, на SO.

Mikel Bitson

1

Извините за опоздание, мне удалось решить эту проблему без использования AJAX, мои решения включают в себя некоторые функции wordpress / php curl, я опубликую свое решение, как только смогу, должен ли я просто отредактировать свой вопрос и написать свое решение в нем, или я должен использовать кнопку с надписью «ответь на свой вопрос»?

StormRage

1

Выделил здесь соответствующую часть ответа. Единственное практическое решение - использовать HTTPS,

Лиам

Answer 6

1

Хорошо, api находится на моем сервере, есть ли какое-нибудь руководство, которому я могу следовать, чтобы сделать его https?

StormRage

Answer 7

1

@StormRage Совершенно верно! Какой тип сервера вы используете? Апач? Это виртуальный хостинг или частный сервер?

Mikel Bitson

Answer 8

@StormRage Пожалуйста, дайте мне знать, если вам понадобится дополнительная помощь. В противном случае голосование будет стимулировать общественную помощь, которую вы получаете здесь, на SO.

Mikel Bitson

Answer 9

1

Извините за опоздание, мне удалось решить эту проблему без использования AJAX, мои решения включают в себя некоторые функции wordpress / php curl, я опубликую свое решение, как только смогу, должен ли я просто отредактировать свой вопрос и написать свое решение в нем, или я должен использовать кнопку с надписью «ответь на свой вопрос»?

StormRage

Answer 10

1

Выделил здесь соответствующую часть ответа. Единственное практическое решение - использовать HTTPS,

Лиам

Answer 11

132

Я решил это, добавив следующий код на HTML-страницу, поскольку мы используем сторонний API, который не контролируется нами.

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Надеюсь, это поможет, и для записи тоже.

Небо
источник

8

Это обновляет все httpзапросы для использования https, поэтому вам не нужно менять протокол для каждого вызова.

написано

3

Это сработало для меня, но, к сожалению, это не работает с Internet Explorer: developer.mozilla.org/en-US/docs/Web/HTTP/Headers/…

Киаран Галлахер

2

Я пробовал это, но теперь у меня появляется ошибка CORS на firefox и net :: ERR_SSL_PROTOCOL_ERROR на chrome. Я знаю, что все вызовы работают, потому что моя веб-страница раньше была http, но теперь, когда я перешел на https, эти вызовы не работают. Есть ли что-нибудь еще, что я могу добавить в свой основной файл HTML? Потому что, если я буду следовать шагам @Juanma Menendez, все вызовы будут работать, но я не могу ожидать, что каждый пользователь сделает это.

Оторриноларингологист-мужчина

Я часами боролся с этой проблемой, пока не нашел ваш ответ, большое спасибо!

Мухаб

Мы подтверждаем, что это решение работает в нашем случае, но, возможно, поможет и вам в будущем: мы попытались создать сегментированную функцию потоковой передачи HTTP / видео по запросу, что-то вроде www.example.com/blabla/master.m3u8. Все отлично работало на http. Но когда мы переводим его на https, это просто не сработает. Мы выяснили, что исходный запрос master.m3u8мог выполнить https, но следующий сегментированный фрагмент видео всегда использовался http(потому что мы используем сторонний модуль). Независимо от того, что мы настраиваем, он просто не будет использоваться https. Воспользовался этой политикой и сразу сработал как шарм!

rahmatns

Answer 12

8

Это обновляет все httpзапросы для использования https, поэтому вам не нужно менять протокол для каждого вызова.

написано

Answer 13

3

Это сработало для меня, но, к сожалению, это не работает с Internet Explorer: developer.mozilla.org/en-US/docs/Web/HTTP/Headers/…

Киаран Галлахер

Answer 14

2

Я пробовал это, но теперь у меня появляется ошибка CORS на firefox и net :: ERR_SSL_PROTOCOL_ERROR на chrome. Я знаю, что все вызовы работают, потому что моя веб-страница раньше была http, но теперь, когда я перешел на https, эти вызовы не работают. Есть ли что-нибудь еще, что я могу добавить в свой основной файл HTML? Потому что, если я буду следовать шагам @Juanma Menendez, все вызовы будут работать, но я не могу ожидать, что каждый пользователь сделает это.

Оторриноларингологист-мужчина

Answer 15

Я часами боролся с этой проблемой, пока не нашел ваш ответ, большое спасибо!

Мухаб

Answer 16

Мы подтверждаем, что это решение работает в нашем случае, но, возможно, поможет и вам в будущем: мы попытались создать сегментированную функцию потоковой передачи HTTP / видео по запросу, что-то вроде www.example.com/blabla/master.m3u8. Все отлично работало на http. Но когда мы переводим его на https, это просто не сработает. Мы выяснили, что исходный запрос master.m3u8мог выполнить https, но следующий сегментированный фрагмент видео всегда использовался http(потому что мы используем сторонний модуль). Независимо от того, что мы настраиваем, он просто не будет использоваться https. Воспользовался этой политикой и сразу сработал как шарм!

rahmatns

Answer 17

Если вы просто посещаете веб-страницу, которой доверяете, и хотите быстро двигаться вперед, просто:

1- Щелкните значок щита в правом углу адресной строки.

2- Во всплывающем окне нажмите «Все равно загрузить» или «Загрузить небезопасный скрипт» (в зависимости от версии Chrome).

Если вы хотите настроить браузер Chrome на ВСЕГДА (на всех веб-страницах), разрешать смешанный контент:

1. В открытом браузере Chrome нажмите Ctrl + Shift + Q на клавиатуре, чтобы принудительно закрыть Chrome. Перед выполнением следующих действий необходимо полностью закрыть Chrome.

2- Щелкните правой кнопкой мыши значок Google Chrome на рабочем столе (или ссылку в меню «Пуск»). Выберите Свойства.

3- В конце существующей информации в поле «Цель» добавьте: «--allow-running-insecure-content» (перед первым тире есть пробел).

4- Щелкните ОК.

5- Откройте Chrome и попробуйте запустить ранее заблокированный контент. Теперь он должен работать.

Answer 18

4

Это ничего не делает для людей, разрабатывающих веб-сайты для тех пользователей, которые не хотят изменять свои настройки, чтобы сайт работал в их браузере, например OP.

smallpants 06

Answer 19

13

Причина этой ошибки очень проста. Ваш AJAX пытается вызвать через HTTP, тогда как ваш сервер работает через HTTPS, поэтому ваш сервер запрещает вызов вашего AJAX. Это можно исправить, добавив следующую строку в тег заголовка вашего основного HTML-файла:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Собхан Нирула
источник

это позволяет, но запрос https

BG BRUNO

В моем случае. сервер только HTTP-запрос. Я пытаюсь, чтобы этот <meta> не работал. Браузер сообщает об ошибке запроса по URL-адресу.

iHad 169,

Answer 20

это позволяет, но запрос https

BG BRUNO

Answer 21

В моем случае. сервер только HTTP-запрос. Я пытаюсь, чтобы этот <meta> не работал. Браузер сообщает об ошибке запроса по URL-адресу.

iHad 169,

Answer 22

1

Если ваш код API работает на сервере node.js, вам нужно сосредоточить свое внимание на нем, а не на Apache или NGINX. Микель прав, изменение URL-адреса API на HTTPS - это ответ, но если ваш API вызывает сервер node.js, его лучше настроить для HTTPS! И, конечно же, сервер node.js может быть на любом неиспользуемом порту, это не обязательно должен быть порт 443.

McMacerson
источник

API был сторонним, поэтому у меня не было возможности установить его на https, и, как вы можете видеть по URL-адресу, который я пытался использовать, API был

написан

@StormRage Ваш вопрос и ответ Микеля привели к решению моей проблемы, поэтому я подумал, что отмечу это здесь, хотя мой ответ на самом деле не относится к вашей ситуации.

mcmacerson 04

Что ж, вы и Микель правы, наиболее разумным решением было бы использовать ssl в API, но в данном контексте я не смог этого сделать, поскольку это был сторонний API, а решение для ppl с использованием wordpress или любой унаследованный сайт может отправлять данные на свой бэкэнд и отправлять запрос API на сервере.

StormRage 05

Я реализовал api от laravel как серверную часть и ионное приложение как PWA на том же хосте, поэтому у меня такая же ошибка, упомянутая в этой статье stackoverflow.com/q/56157129/308578

saber tabatabaee yazdi

Answer 23

API был сторонним, поэтому у меня не было возможности установить его на https, и, как вы можете видеть по URL-адресу, который я пытался использовать, API был

написан

Answer 24

@StormRage Ваш вопрос и ответ Микеля привели к решению моей проблемы, поэтому я подумал, что отмечу это здесь, хотя мой ответ на самом деле не относится к вашей ситуации.

mcmacerson 04

Answer 25

Что ж, вы и Микель правы, наиболее разумным решением было бы использовать ssl в API, но в данном контексте я не смог этого сделать, поскольку это был сторонний API, а решение для ppl с использованием wordpress или любой унаследованный сайт может отправлять данные на свой бэкэнд и отправлять запрос API на сервере.

StormRage 05

Answer 26

Я реализовал api от laravel как серверную часть и ионное приложение как PWA на том же хосте, поэтому у меня такая же ошибка, упомянутая в этой статье stackoverflow.com/q/56157129/308578

saber tabatabaee yazdi

Answer 27

Вместо использования метода Ajax Post вы можете использовать динамическую форму вместе с element. Он будет работать, даже если страница загружена с использованием SSL, а отправленный источник не является SSL.

Вам необходимо установить значение value элемента формы.

Фактически новая динамическая форма откроется как режим без SSL на отдельной вкладке браузера, если целевой атрибут установлен '_blank'

var f = document.createElement('form');
f.action='http://XX.XXX.XX.XX/vicidial/non_agent_api.php';
f.method='POST';
//f.target='_blank';
//f.enctype="multipart/form-data"

var k=document.createElement('input');
k.type='hidden';k.name='CustomerID';
k.value='7299';
f.appendChild(k);



//var z=document.getElementById("FileNameId")
//z.setAttribute("name", "IDProof");
//z.setAttribute("id", "IDProof");
//f.appendChild(z);

document.body.appendChild(f);
f.submit()

Answer 28

Я действительно хочу использовать API, но когда я делаю это с вашим методом, делая запрос на получение, я бы фактически отправлял форму, но теперь я застрял в чтении ответа от API. Потому что, я думаю, для этого AJAX или xmlhttprequest - единственный вариант

Сиддхарт Чоудхари

Answer 29

интересное решение :-)

BG BRUNO

Answer 30

просто и гениально

Harkal

Answer 31

У меня была такая же проблема, но для меня проблема заключалась в команде ng build. Я делал "ng build --prod", я исправил его на "ng build --prod --base-href / applicationname /". и это решило мою проблему.

Answer 32

в моем случае это был мой локальный хост httpи моя развернутая версия https, поэтому я использовал этот скрипт, чтобы добавить метатег http-Equiv только для https:

if (window.location.protocol.indexOf('https') == 0){
  var el = document.createElement('meta')
  el.setAttribute('http-equiv', 'Content-Security-Policy')
  el.setAttribute('content', 'upgrade-insecure-requests')
  document.head.append(el)
}

«Смешанное содержимое заблокировано» при выполнении операции HTTP AJAX на странице HTTPS.

============================

Ответы: