¿Cómo incluir archivos CSS y JS a través de HTTPS cuando sea necesario?

Question 1

Estoy agregando un archivo CSS externo y un archivo JS externo a mis encabezados y pies de página. Al cargar una página HTTPS, algunos navegadores se quejan de que estoy cargando contenido no seguro.

¿Existe una manera fácil de hacer que el navegador cargue el contenido externo a través de HTTPS cuando la página en sí es HTTPS?

Question 2

Utilice rutas relativas al protocolo.

Así no

<link rel="stylesheet" href="http://example.com/style.css">
<script src="http://example.com/script.js"></script>

pero entonces

<link rel="stylesheet" href="//example.com/style.css">
<script src="//example.com/script.js"></script>

luego usará el protocolo de la página principal.

Question 3

nute y James Westgate tienen razón al comentar la respuesta posterior.

Si echamos un vistazo a varias inclusiones de javascript externas de grado industrial, las exitosas usan tanto el rastreo de document.location.protocol como la inyección de elementos de script para usar el protocolo adecuado.

Entonces podrías usar algo como:

<script type="text/javascript">
  var protocol = (
      ("https:" == document.location.protocol) 
      ? "https" 
      : "http"
  );
  document.write(
      unescape(
          "%3Cscript"
              + " src='"
                  + protocol 
                  + "://"
                  + "your.domain.tld"
                  + "/your/script.js"
              + "'"
              + " type='text/javascript'
          + "%3E"
          + "%3C/script%3E"
      ) // this HAS to be escaped, otherwise it would 
        // close the actual (not injected) <script> element
  );
</script>

Lo mismo se puede hacer para las inclusiones CSS externas.

Y, por cierto: tenga cuidado de usar solo la ruta URL () relativa en su CSS, si corresponde, de lo contrario, es posible que reciba la advertencia "mixta segura y no segura" ...

Question 4

Si usa rutas relativas (y el contenido está en el mismo dominio), entonces el contenido debe usar el protocolo en el que se solicitó la página.

Sin embargo, si va a través del dominio a una CDN o un sitio de recursos, o si necesita usar rutas absolutas, deberá usar el script del lado del servidor para cambiar los enlaces, o usar siempre https: //

Question 5

En contradicción con la respuesta de escape (que también funcionará), puede omitir esa parte y usar la forma correcta de agregar nodos a su árbol de dom:

<script type="text/javascript" language="javascript">
    var fileref=document.createElement('script');
    fileref.setAttribute("type","text/javascript");
    fileref.setAttribute("src", document.location.protocol + '//www.mydomain.com/script.js');
    document.getElementsByTagName("head")[0].appendChild(fileref);
</script>

Pero la ruta relativa al protocolo sería el camino a seguir.

Answer 1

Estoy agregando un archivo CSS externo y un archivo JS externo a mis encabezados y pies de página. Al cargar una página HTTPS, algunos navegadores se quejan de que estoy cargando contenido no seguro.

¿Existe una manera fácil de hacer que el navegador cargue el contenido externo a través de HTTPS cuando la página en sí es HTTPS?

Answer 2

125

Utilice rutas relativas al protocolo.

Así no

<link rel="stylesheet" href="http://example.com/style.css">
<script src="http://example.com/script.js"></script>

pero entonces

<link rel="stylesheet" href="//example.com/style.css">
<script src="//example.com/script.js"></script>

luego usará el protocolo de la página principal.

BalusC
fuente

4

Ese es un problema específico del navegador. No hay otras formas de resolver esto de manera robusta que hacerlo completamente en el lado del servidor utilizando las capacidades de la tecnología de visualización en cuestión.

BalusC

1

Como nota adicional, si se preocupa por las entradas de almacenamiento en caché correctas en los encabezados de respuesta, los navegadores no lo descargarán en las solicitudes posteriores hasta que se alcance el vencimiento, incluido IE.

BalusC

Yo diría que siempre use los https://recursos cuando estén disponibles. Se cargarán bien en su página, independientemente del esquema

Phil

@Phil: no si el entorno de destino no admite HTTPS, generalmente durante el desarrollo en localhost.

BalusC

@BalusC "... cuando esté disponible ..."

Phil

Answer 3

4

Ese es un problema específico del navegador. No hay otras formas de resolver esto de manera robusta que hacerlo completamente en el lado del servidor utilizando las capacidades de la tecnología de visualización en cuestión.

BalusC

Answer 4

1

Como nota adicional, si se preocupa por las entradas de almacenamiento en caché correctas en los encabezados de respuesta, los navegadores no lo descargarán en las solicitudes posteriores hasta que se alcance el vencimiento, incluido IE.

BalusC

Answer 5

Yo diría que siempre use los https://recursos cuando estén disponibles. Se cargarán bien en su página, independientemente del esquema

Phil

Answer 6

@Phil: no si el entorno de destino no admite HTTPS, generalmente durante el desarrollo en localhost.

BalusC

Answer 7

@BalusC "... cuando esté disponible ..."

Phil

Answer 8

nute y James Westgate tienen razón al comentar la respuesta posterior.

Si echamos un vistazo a varias inclusiones de javascript externas de grado industrial, las exitosas usan tanto el rastreo de document.location.protocol como la inyección de elementos de script para usar el protocolo adecuado.

Entonces podrías usar algo como:

<script type="text/javascript">
  var protocol = (
      ("https:" == document.location.protocol) 
      ? "https" 
      : "http"
  );
  document.write(
      unescape(
          "%3Cscript"
              + " src='"
                  + protocol 
                  + "://"
                  + "your.domain.tld"
                  + "/your/script.js"
              + "'"
              + " type='text/javascript'
          + "%3E"
          + "%3C/script%3E"
      ) // this HAS to be escaped, otherwise it would 
        // close the actual (not injected) <script> element
  );
</script>

Lo mismo se puede hacer para las inclusiones CSS externas.

Y, por cierto: tenga cuidado de usar solo la ruta URL () relativa en su CSS, si corresponde, de lo contrario, es posible que reciba la advertencia "mixta segura y no segura" ...

Answer 9

Esto es solo algo que debe tener en cuenta al decidir qué tecnología usar. Si no puede hacer esto en el lado del servidor y necesita ir a través de los hosts, entonces no tiene otra opción.

Geoff

Answer 10

1

Si usa rutas relativas (y el contenido está en el mismo dominio), entonces el contenido debe usar el protocolo en el que se solicitó la página.

Sin embargo, si va a través del dominio a una CDN o un sitio de recursos, o si necesita usar rutas absolutas, deberá usar el script del lado del servidor para cambiar los enlaces, o usar siempre https: //

James Westgate
fuente

Atravesamos el dominio. ¿Usaría javascript para escribir la inclusión funcionaría? Si document.location.protocol entonces ...

Nathan H

Intentando usar js insertando un marcado en la etiqueta HEAD, tal vez un simple document.write dentro de una etiqueta de script .. <HEAD> <SCRIPT> document.write ('<SCRIPT src =' + document.location.protocol ...

James Westgate

1

Este es el enfoque adoptado por el código de Google Analytics, simplemente hace un document.write con el protocolo de la página que lo contiene.

Geoff

"Necesitará utilizar un script del lado del servidor" - ¿por qué? Almacenamiento en caché ¿Preocupaciones XSS? Navegadores?

mlhDev

Esto parece que me refería a rutas de protocolo relativ cuando respondí la pregunta, pero no puedo estar seguro. Sé que IE8 y los siguientes tienen un problema de almacenamiento en caché con las rutas relativas del protocolo que deben verificarse. No escribiría cada recurso usando un script si está interesado en el rendimiento, puede desencadenar todo tipo de problemas de asincronía y bloqueo.

James Westgate

Answer 11

Atravesamos el dominio. ¿Usaría javascript para escribir la inclusión funcionaría? Si document.location.protocol entonces ...

Nathan H

Answer 12

Intentando usar js insertando un marcado en la etiqueta HEAD, tal vez un simple document.write dentro de una etiqueta de script .. <HEAD> <SCRIPT> document.write ('<SCRIPT src =' + document.location.protocol ...

James Westgate

Answer 13

1

Este es el enfoque adoptado por el código de Google Analytics, simplemente hace un document.write con el protocolo de la página que lo contiene.

Geoff

Answer 14

"Necesitará utilizar un script del lado del servidor" - ¿por qué? Almacenamiento en caché ¿Preocupaciones XSS? Navegadores?

mlhDev

Answer 15

Esto parece que me refería a rutas de protocolo relativ cuando respondí la pregunta, pero no puedo estar seguro. Sé que IE8 y los siguientes tienen un problema de almacenamiento en caché con las rutas relativas del protocolo que deben verificarse. No escribiría cada recurso usando un script si está interesado en el rendimiento, puede desencadenar todo tipo de problemas de asincronía y bloqueo.

James Westgate

Answer 16

En contradicción con la respuesta de escape (que también funcionará), puede omitir esa parte y usar la forma correcta de agregar nodos a su árbol de dom:

<script type="text/javascript" language="javascript">
    var fileref=document.createElement('script');
    fileref.setAttribute("type","text/javascript");
    fileref.setAttribute("src", document.location.protocol + '//www.mydomain.com/script.js');
    document.getElementsByTagName("head")[0].appendChild(fileref);
</script>

Pero la ruta relativa al protocolo sería el camino a seguir.

¿Cómo incluir archivos CSS y JS a través de HTTPS cuando sea necesario?

Respuestas: