Chrome fügt allen Anfragen einen seltsamen HTTPS: 1-Header hinzu

11643
TwoDiv

Ich habe auf Websites, die sich auf HTTPS beziehen, eine Menge seltsamer Fehler erhalten. Diese Sites funktionieren in FF und IE hervorragend, werden jedoch in Chrome nicht geladen. Es scheint, dass Google Chrome zwar eine ungesicherte URL (http) anfordert HTTPS:1, der Anforderung jedoch einen zusätzlichen Header hinzufügt .

Dies hat zur Folge, dass einige Server, möglicherweise einige, die SSL abladen und ein freigegebenes Hosting bereitstellen, mit einem Fehler antworten, da auf dem Server kein SSL vorhanden ist.

Ich werde nicht auf eine gesicherte Seite (HTTPS) umgeleitet, sondern alle internen URLs in der Quelle werden in https bearbeitet.

Ich habe die Verbindung mit Fiddler überprüft. Dieses Parsing wird auf meinem Computer nicht durchgeführt und der einzige Unterschied ist dieser HTTPS:1Header.

Ich habe eine einfache PHP-Seite erstellt, die die $_SERVERVariable ausgibt. Wenn ich es mit Chrom zugreifen kann ich sehen: [HTTP_HTTPS] => 1. Ich kann es nicht mit FireFox sehen.

Ich habe versucht, alle Daten zu löschen, Chrome von meinem Google-Konto zu trennen und Chrome von Grund auf zu entfernen und zu installieren.

Hat jemand eine Idee davon? Es macht mich verrückt.

17
Ja, ich sehe das auch schon gestern. Mich auch verrückt machen. Kirby vor 8 Jahren 0
Ich hatte das gleiche Problem mit Chrome Canary, aber nur auf einer bestimmten Site, an der ich mit http-> https-Umleitungen herumfummelte. Ich denke, es hat etwas mit dem 301-Weiterleitungscache zu tun. Chrome hat mich nicht nach https gelöscht, nachdem der Browser-Cache vollständig gelöscht wurde. Es löst jedoch nicht das https-Headerproblem. Ich habe es "gelöst", indem ich Canary nicht mehr für die spezifische Site verwende. Heute begann die gleiche Ausgabe erneut bei Chrome Stable, ABER NICHT mehr bei Canary. Ich denke, der Cache auf Canary ist abgelaufen. Ich habe es einige Zeit nicht getestet. Sieht für mich völlig zufällig aus. Entschuldigung, dass ich Ihnen keine Antwort gegeben habe. Aber seit ich Azeruel vor 8 Jahren 0
Chrome ist sehr aggressiv, wenn es um Sicherheit geht. Google tut dies wahrscheinlich aus geschäftlichen Gründen: Wenn Benutzerdaten nicht gegen Regierungsakteure gesichert werden können, verlieren die Nutzer sehr schnell ihr Vertrauen in Google. Daher ist es für Google oberste Priorität, sich als führendes Unternehmen im Bereich des Datenschutzes im Internet zu etablieren, obwohl das auf Anzeigen basierende Geschäftsmodell vollständig auf das Verhalten des Nutzers basiert. Die Nutzer vertrauen darauf, dass Google ein sicherer Verwalter ihrer persönlichen Daten ist und keine Daten an unbefugte Dritte weitergibt, sodass sie es sich nicht leisten können, weniger zu tun. bwDraco vor 8 Jahren 0

4 Antworten auf die Frage

14
Kirby

Wahrscheinlich führen die Sites, mit denen Sie Probleme haben, Servercode aus, der den HTTPS: 1Anforderungsheader falsch interpretiert . Beispielsweise enthält das Wordpress WooCommerce-Plugin, das auf etwa 900.000 Websites ausgeführt wird, fehlerhaften Code, der den HTTPS: 1Header falsch verarbeitet . Das neueste Patch-Dokument finden Sie hier: https://woocommerce.wordpress.com/2015/07/07/woocommerce-2-3-13-security-and-maintenance-release/

Auf StackOverflow gibt es einen ähnlichen Beitrag: https://stackoverflow.com/questions/31565155/wordpress-woocommerce-forces-https-when-it-shouldnt/31570584#31570584

Um mehr Details zu geben: Chrome hat die Upgrade-Anforderung für unsichere Anforderungen des World Wide Web Consortium (W3C) implementiert . Abschnitt 3.2.1 dieser Spezifikation enthält das HTTP-Request-Header-Feld "Upgrade-Insecure-Requests", das angibt

3.2.1. Das HTTP-Request-Headerfeld "Upgrade-Insecure-Requests"

Das HTTP-Anforderungsheaderfeld "Upgrade-Insecure-Requests" sendet ein Signal an den Server, das die Präferenz des Clients für eine verschlüsselte und authentifizierte Antwort ausdrückt, und dass er die Direktive "Upgrade-Insecure-Requests" erfolgreich verarbeiten kann, um diese Präferenz so nahtlos wie möglich zu gestalten bereitstellen.

Diese Präferenz wird durch die folgende ANBF dargestellt:

"Upgrade-Insecure-Requests:" * WSP "1" * WSP

Sites wie diejenigen, die das WooCommerce-Plugin in Wordpress ausführen, schreiben alle URLs in der Antwort falsch als https:\\Links, wenn der HTTPS: 1Header in einer nicht sicheren (http) -Anforderung festgelegt wurde.

Als Endbenutzer dieser Website können Sie nur einen anderen Browser als Chrome verwenden, bis diese Websites repariert sind

Vielen Dank für die ausführliche Antwort. Ich habe gesehen, dass dieser Code implementiert wurde. Da dieses Problem jedoch spezifisch für meinen Computer ist (ich habe es mit verschiedenen Computern im Büro überprüft), gehe ich davon aus, dass es eine Möglichkeit gibt, das auszuschalten. Andere Computer senden den HTTPS: 1-Header nicht. Dies ist spezifisch für meinen Computer TwoDiv vor 8 Jahren 0
Es ist nicht spezifisch für Ihren Computer. Ich vermute, dass die anderen Benutzer noch nicht auf die neueste Version von Chrome aktualisiert haben Kirby vor 8 Jahren 1
Wow, das wird ein potenziell großes Problem für WooCommerce. Ich habe zwei separate (nicht https-fähige) Websites auf Woo und habe sie gerade mit dem von ihnen veröffentlichten Update gepatcht. Ich kann mir jedoch vorstellen, dass sich viele Shop-Besitzer darüber beschweren! lisburnite vor 8 Jahren 0
Ich denke, dass es nicht nur um WooCommerce geht, sondern wie der Server die Header liest. Bei meiner Arbeit verwenden wir Offload SSL und verwenden den Parameter HTTP-Proto, um den Server mitzuteilen, ob die Anforderung in HTTPS eingegangen ist. Der Server erhält eine einfache HTTP-Anforderung und analysiert sie so, als wäre es HTTPS. Ich gehe davon aus, dass dies dasselbe Problem ist und wenn die Serverkonfiguration HTTPS nicht zulässt, kein SSL vorhanden ist oder andere Ordner für http und https verwenden, werden sie abstürzen TwoDiv vor 8 Jahren 0
@lisburnite Sie betreiben Commerce-Websites, die nicht über HTTPS bereitgestellt werden? Sie sollten Ihren Kunden wahrscheinlich etwas Schutz geben und das Problem beheben ... Ashley Steel vor 8 Jahren 3
@AshleySteel Ich habe vor, es sind beides relativ neue Sites und die Priorität war, sie zuerst live zu machen. Ich warte nur noch darauf, dass beide Kunden SSL-Zertifikate kaufen, und ich werde sie einbauen. lisburnite vor 8 Jahren 0
4
TwoDiv

Anscheinend wurde ein Fehler in Version 44 im neuesten Update behoben. Ich verwende jetzt 44.0.2403.107 und das Problem scheint verschwunden zu sein.

Mehr Informationen hier: http://www.zdnet.com/article/brand-new-chrome-44-release-added-a-bug/

3
Any

Es ist mehr als nur Wocommerce, es ist alles von Wordpress, das haywire wird, was schlechte CSS, Bilder usw. verursacht.

Fügen Sie dies oben in der wp-config.php hinzu, um es zu entfernen

if($_SERVER['HTTP_HTTPS'] && !$_SERVER['HTTPS']) { unset($_SERVER['HTTP_HTTPS']); }
@ Any dann Admin-Panel funktioniert nicht. Dhruv Kapatel vor 8 Jahren 0
Verwendung auf vielen Websites, die gestern pleite sind, ohne Probleme Any vor 8 Jahren 0
1
Aley

Sie können dies versuchen, um die HTTP_HTTPSKopfzeile zu löschen .

if(!isset($_SERVER['HTTPS']) || $_SERVER['HTTPS'] != 'on') { unset($_SERVER['HTTP_HTTPS']); }

Verwandte Probleme