我们在IIS上有一个ASP.NET网站。我们有一个Lead Forensics链接。在切换到所有页面都需要SSL之前,它一直运行良好。它类似于:
<script type="text/javascript" src="http://lead-123.com/js/8303.js"></script>
然而,由于需要SSL,跟踪似乎不再有效。
显然,这是由原始https页面对http链接的请求引起的。但以下两种尝试也都失败了:
src="//lead-123.com/js/8303.js"
src="https://lead-123.com/js/8303.js"
访问跟踪脚本的https URL显示正在被服务(尽管存在安全错误)。
我相信首席法医已经考虑过了。有人知道是否有任何约定或解决方案可以以某种方式使用,这样网站上就不会报告安全错误,并且可以进行跟踪吗?我找不到任何关于这方面的文件,到目前为止,联系他们的尝试也没有成功。
**
更新
我不确定脚本是否托管在https链接上。(只有在我成功收到来自http链接的响应后,它才会在我的浏览器中做出响应)。尽管如此,我仍在寻找如何处理这种情况的约定,或者如果使用SSL,是否提供单独的链接,或者该技术是否能够通过SSL工作。
呼叫Lead Forensics支持。他们可以根据要求为跟踪器配置一个安全端点:
<script type="text/javascript" src="https://secure.leadforensics.com/js/XXXXX.js"></script>
<noscript>
<img src="https://secure.leadforensics.com/XXXXX.png" style="display:none;" />
</noscript>
对此你无能为力。分配给该证书的CN(通用名)名称为*.leadforensics.com;然而,他们不断提供与该证书绑定的其他域名。
ERR_CERT_COMMON_NAME_INVALID是我们得到的误差。
由于整个过程都在后台运行,所以浏览器不会打开JS和PNG文件,也不会进行跟踪。
我不知道首席法医怎么能做到这一点!
通过使用HttpWebRequest类并将X509事件重写为始终true,我们可以很容易地创建一个解决方法,但创建这样的解决方法会违反安全规范,并可能掩盖其他漏洞。
所以我已经要求首席法医纠正它。