Ethan's Dream About me

IE6有个安全机制，有时候很烦人，当从https(secure)的环境中引用任何http(nosecure)的资源的时候，都要为用户弹出不安全提示框。

很多人可能只知引起这个报警的条件一：https页面中加载http的任何链接时；殊不知，还有其二：当元素具有src属性时，如果src属性值为空，或为about:blank或#时，也会弹出这个安全提示。

新上线的支付宝VIP会员频道发布过程中也遇到这个问题在，原来在iframe中使用了一个#，和几个同事焦躁的排查了近2个小时。

对于一个https环境的网站来说，遇到这种报警简直是家常便饭，排查起来就要特别小心了。由于第一种情况比较常见，所以我们的固定思维都聚集在了第一种上，出现问题排查的时候往往也只知道的去查找http链接。但当所有http链接都处理完后，如果仍然弹出这个提示，那多半是第二种情况产生的了。

另外，排查的好办法是Fiddler或Firebug、HttpWatch等网络请求查看工具，可能很明显的看出问题。
—————–## 2010-07-09 19:37 Updated ##———————
忘了给出解决办法：
在不想让src为确切值时，我们可以指定src为javascript:false;便解决了。 via http://www.zorked.com/security/ie-mixed-content-secure-nonsecure-items/