Почему мой безопасный iframe сообщается как небезопасный?

Question

У нас есть экземпляр Glassfish 3, работающий за действительным SSL (Windows Server).

В нашем EAR-файле у нас есть приложение Vaadin, которое смешивается с паролем JSP (в основном для входа).

Теперь, когда мы входим в систему (это просто HTTP-сообщение HTTP на странице JSP), Google Chrome сообщает, что мы пытаемся загрузить небезопасный контент.

Так, например, наш URL будет:

https://test.example.com/app 

Благодаря тому, как Vaadin работает и как приложение было установки, он будет автоматически перенаправлять:

https://test.example.com/app/ui 

ui находится от ui.jsp. Теперь каждая ссылка во всем приложении относительна. Таким образом, перенаправление использует: /ui.jsp.

Однако отчеты консоли Chrome:

[blocked] The page at 'https://test.example.com/app/ui` was loaded over HTTPS, but ran insecure content from 'http://test.example.com/app/ui.jsp': this content should also be loaded over HTTPS. 

Все приложение находится в том же WAR файла, который находится в том же EAR файла, который развернут в одном приложении в GlassFish.

Почему он считает, что контент небезопасен?

Спасибо.

Answer 1

Использовать прокси-сервер отладки, такой как Fiddler, то, что вы увидите, заключается в том, что хотя основной URL-адрес передается через https; но контент, например, изображения, js или css-файлы, передается через http.

Это связано с тем, что ваша страница определяет протокол http при построении ссылок на эти ресурсы на главной странице.