加载非 SSL 脚本会破坏 SSL 吗？ [复制]答案

【问题标题】：Can SSL be compromised through loading of Non-SSL script? [duplicate]加载非 SSL 脚本会破坏 SSL 吗？ [复制]
【发布时间】：2013-01-05 22:09:12
【问题描述】：

可能重复：
When a page delivers secure and non-secure items over https, are the secure items compromised?

如果您像这样从 google ajax 网站加载 jquery：

<script type="text/javascript" src="http//ajax.googleapis.com/ajax/libs/jquery/1.x.x/jquery.min.js"></script>

在 https 页面上，在某些浏览器中会显示该页面不安全。

我已经将它固定为这样加载：

<script type="text/javascript" src="//ajax.googleapis.com/ajax/libs/jquery/1.5.2/jquery.min.js"></script>

而且效果很好。

我的问题是，该网站是否会因为非 https 脚本的不当加载而被黑客入侵？

【问题讨论】：

【解决方案1】：

黑客是什么意思？如果您认为黑客正在访问您的服务器、修改页面、访问私人数据等。不！仅仅因为您通过 HTTP 提供一些内容，它不会为您的服务器造成黑客的大安全漏洞。

如果您指的是中间人（例如在 ISP 中或在被黑网络中）可以嗅探流量，是的！当您在 HTTP 中提供内容时，它是纯文本的。每个人都可以通过一个简单的软件嗅探器看到 HTTP 中的内容。但是如果你通过 HTTPS 提供数据，除了服务器（Web 服务器）和客户端（通过浏览器）之外，没有人可以解码数据。

所以你决定它是什么。

【讨论】：

另外，如果您在 HTTP 中提供某些内容，黑客可能会在其控制的网络中注入一些脚本或数据包。就像假设 ISP 决定入侵客户一样，他们可以通过 javascript 向所有 HTTP 流量注入漏洞利用工具包，但如果是 https，则没有人可以在半空中更改/更改其中的任何内容。（有一些 SSL 嗅探方法，但浏览器总是会触发不受信任证书的异常，所以算了吧）
感谢您的回答！更具体地说，当您在浏览器中加载 https 页面时，但有一个元素（在本例中为 jquery）是从 http 源加载的，浏览器会抱怨存在混合源内容。现在假设我们正在发送一些表单数据，这是否意味着即使页面上有 SSL 证书，表单数据（或整个 http 数据包）也不会加密？或者加载这个不安全的脚本（jquery）只允许黑客劫持那个特定的脚本？基本上，浏览器可以在安全模式下继续运行吗？
@Totomobile JS 中的安全性相当棘手！（有时大量关于安全性的微妙错误信息也无济于事。）但绝对正确的是，谷歌托管的 jQuery 版本已经过人们仔细检查，以确保它正在做它应该做的事情，并且要求安全页面中的所有外部内容也通过安全通道是一个好的错误。最简单的方法是不使用页面中任何 URL 的“http:”部分，而是从页面自己的 URL 中“继承”它……