CDNK博客
配置完 SSL 后网站加载不完整,通常是因为混合内容(Mixed Content)问题,即 HTTPS 页面中加载了 HTTP 资源(如图片、CSS、JS、字体等),导致浏览器出于安全考虑阻止这些不安全的资源加载。
以下是常见原因和解决方案:
🔍 一、常见原因
-
混合内容(Mixed Content)
- 网站通过 HTTPS 加载,但某些资源(如 CSS、JS、图片)仍使用
http://协议。 - 浏览器会阻止这些不安全的资源加载,导致页面样式错乱或功能失效。
- 网站通过 HTTPS 加载,但某些资源(如 CSS、JS、图片)仍使用
-
硬编码的 HTTP 链接
- 在 HTML、CSS、JavaScript 或后端代码中,资源路径写死了
http://yourdomain.com/...。 - 即使启用了 HTTPS,这些资源仍尝试通过 HTTP 加载。
- 在 HTML、CSS、JavaScript 或后端代码中,资源路径写死了
-
CDN 或第三方资源未使用 HTTPS
- 使用了外部 CDN(如 jQuery、Bootstrap、Google Fonts)但链接是
http://。 - 或 CDN 不支持 HTTPS。
- 使用了外部 CDN(如 jQuery、Bootstrap、Google Fonts)但链接是
-
重定向配置不当
- HTTPS 配置了,但 HTTP 到 HTTPS 的重定向没有生效。
- 用户访问 HTTP 页面,导致资源加载混乱。
-
HSTS 配置问题(较少见)
- 启用了 HSTS 但配置错误,导致某些资源无法加载。
✅ 二、解决方案
✅ 1. 检查并修复混合内容
步骤:
- 打开浏览器开发者工具(F12),查看 Console 和 Network 标签。
- 查找被阻止的资源(通常提示
Mixed Content: The page was loaded over HTTPS, but requested an insecure...)。 - 将这些资源的 URL 改为:
- 使用
https:// - 或使用协议相对路径:
//example.com/resource.js
- 使用
示例:
<!-- 错误 -->
<script src="http://cdn.example.com/jquery.js"></script>
<!-- 正确 -->
<script src="https://cdn.example.com/jquery.js"></script>
<!-- 或 -->
<script src="//cdn.example.com/jquery.js"></script>✅ 2. 替换所有硬编码的 HTTP 链接
搜索项目中所有 http://yourdomain.com 并替换为:
https://yourdomain.com- 或使用相对路径
/static/css/style.css - 或使用协议相对路径
//yourdomain.com/path/to/resource
建议:使用相对路径或动态生成 URL(如在 CMS 中使用
site_url()、asset()等函数)。
✅ 3. 确保 CDN 支持 HTTPS
确保你引用的第三方资源支持 HTTPS:
- Google Fonts、jQuery CDN、Bootstrap CDN 等主流服务都支持 HTTPS。
- 示例:
<link href="https://fonts.googleapis.com/css2?family=Roboto&display=swap" rel="stylesheet">
✅ 4. 配置强制 HTTPS 重定向
确保访问 HTTP 时自动跳转到 HTTPS。
Nginx 示例:
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;
return 301 https://$server_name$request_uri;
}Apache (.htaccess) 示例:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]✅ 5. 清除缓存
- 清除浏览器缓存(或使用无痕模式测试)。
- 如果使用了 CDN(如 Cloudflare),清除 CDN 缓存。
- 清除网站自身的缓存(如 WordPress 的缓存插件)。
✅ 6. 检查 SSL 配置是否完整
确保:
- SSL 证书已正确安装(包括中间证书)。
- 使用现代加密套件。
- 支持 TLS 1.2+。
- 可使用 SSL Labs 测试工具 检测。
🛠 三、快速诊断方法
- 打开 Chrome 开发者工具 → Security 标签页。
- 查看是否显示“Connection is not secure”或混合内容警告。
- 在 Console 中查看是否有
Mixed Content报错。 - 使用在线工具检测:
- https://securityheaders.com
- https://www.whynopadlock.com
📌 总结
| 问题 | 解决方案 |
|---|---|
| 页面样式错乱、JS 不执行 | 检查混合内容 |
| 资源加载被阻止 | 将 http:// 改为 https:// 或 // |
| 用户访问 HTTP 不跳转 | 配置 301 重定向 |
| 缓存旧内容 | 清除浏览器和 CDN 缓存 |
如果你提供具体的网站或错误信息(如浏览器 Console 报错),我可以帮你更精准定位问题。