有好幾次我發現網站訪問者由於資源被頁面不安全地加載而被https頁面中的瀏覽器警告消息嚇跑了。這是特別災難性的,因爲它沒有明顯的後端錯誤,也沒有客戶端的JavaScript錯誤,可以捕獲... ...殺死註冊或付款頁面的轉換率...如何在沒有任何瀏覽器警告的情況下驗證安全的https頁面加載?
有一個相對簡單的問題的圖像/ css/js文件與http協議中的絕對url鏈接。但是,我也遇到過這樣的https警告,這是由於像plusone這樣的社交插件引起的,它在iframe(它有一個https src)內可能會偶爾加載不安全的資源。
因此,我想知道是否有任何簡單和優雅的方式來自動檢查安全頁面,可以驗證它們是否會在沒有任何https警告的情況下在實際瀏覽器中加載。
我認爲最好的方法是在本地設置https(使用自簽名證書),並在不同瀏覽器中瀏覽本網站。
另一種方法是使用PhantomJS等無頭瀏覽器獲取頁面,並遍歷所有鏈接,iframe和子文檔並更改源代碼。
您對瀏覽器警告的影響是正確的 - 當錯誤導致SSL頁面生成瀏覽器警告時,我看到轉換率急劇下降(在電子商務網站上有過期證書的高達90%。 ..)。
這一切都取決於你的開發過程中,但我已經設置了在過去是: - 私人測試環境中,託管在直播現場 的子域 - 所有的「通配符」 SSL證書頂級域名,部署到現場和測試環境 - 自動,定期部署「工作進行中」代碼到測試環境 - 自動腳本測試,通過站點關注關鍵用戶旅程(在我們的案例中使用Selenium) - 關鍵用戶旅程中的任何步驟的瀏覽器警告時的電子郵件通知
此過程通常稱爲「持續集成「,雖然它需要一些努力來設置,但它阻止了」哎呀,我們部署了一個更新,它破壞了網站,我們只是發現了,因爲沒有人再在線購買我們的小部件...「綜合症。
你可以通過你的網頁源代碼搜索'http://'並用相對鏈接替換所有的絕對鏈接,但我不認爲會有方法來測試iframe的源代碼。 – 2012-01-01 23:31:18