此连接已被阻止,因为它是公共页面发起的,旨在连接到您本地网络上的设备或服务器。
这是现代浏览器(Chrome、Edge、Firefox)实施的「混合内容与本地网络隔离」安全策略,属于 TLS/HTTPS 安全演进中的主动防护机制。当 HTTPS 页面尝试通过 JavaScript 发起对 http://192.168.x.x、http://localhost 或 http://10.x.x.x 等私有 IP 的明文请求时,浏览器会直接拦截并显示该提示——它不是 SSL 证书错误,而是协议层访问控制。
技术背景:为什么 HTTPS 页面不能调用本地 HTTP 服务?
该行为由 Chromium 团队于 2020 年起推动落地,依据 W3C Powerful Features 规范。核心逻辑是:已建立 HTTPS 安全上下文的页面,不应具备绕过同源策略访问本地网络的能力,否则可能被恶意网站用于扫描内网设备、窃取路由器管理界面 Cookie 或触发 IoT 设备漏洞。
浏览器信任与证书验证无关
需特别注意:该报错与 SSL证书 是否安装、是否受信任完全无关。即使你为 https://example.com 部署了 DV SSL证书,只要其前端 JS 尝试 fetch http://192.168.1.1/api/status,Chrome 仍会阻断。这不是证书链不完整或域名不匹配问题,而是设计如此。
TLS 协议工作机制的边界
TLS 加密只保障「客户端 ↔ 服务器」之间的传输机密性与完整性,并不赋予网页跨网络域的访问权限。本地网络(RFC 1918 地址段)被视为高风险区域,因此浏览器强制要求:若要从 HTTPS 页面访问本地服务,目标端必须也启用 HTTPS,且证书需被浏览器信任(如使用 国密SSL证书 或自签名证书并手动导入根证书)。
工程实践:真实部署中的三种应对路径
在工业网关、智能家居控制台、内网监控系统等场景中,我们常遇到此问题。TopSSL 运维团队在 200+ 企业项目中验证过以下方案:
- 推荐方案(生产环境):为内网服务配置 HTTPS + 有效证书。例如用 免费SSL证书 或 通配符SSL证书 签发
https://panel.internal.company,再通过 DNS 解析或 hosts 绑定实现访问; - 开发调试方案:Chrome 启动时添加
--unsafely-treat-insecure-origin-as-secure="http://192.168.1.100:8080" --user-data-dir=/tmp/chrome-test参数临时解除限制(仅限测试,不可用于用户环境); - 架构重构方案:将内网 API 统一代理至主站域名下(如
https://app.example.com/proxy/device/status),由 Nginx 或云 WAF 完成反向代理与协议转换,规避浏览器本地网络策略。
注意:部分老旧嵌入式设备不支持 TLS 1.2+ 或无法加载完整证书链,此时需评估硬件升级周期——我们曾协助某电力 SCADA 系统用 锐安信 国产根证书定制轻量级中间 CA,兼容性提升 92%。
常见问题
Q:我用 Let's Encrypt 免费证书部署了 HTTPS,为什么还是被阻止?
A:Let's Encrypt 不支持为私有 IP(如 192.168.x.x)签发证书,该限制与证书品牌无关,是浏览器策略本身决定的。
Q:能否通过修改服务器响应头绕过?
A:不能。Access-Control-Allow-Origin 等 CORS 头仅影响跨域资源共享,对本地网络访问拦截无效。
Q:微信内置浏览器也报这个错吗?
A:是的。微信 WebView 基于 X5 内核,同样遵循 W3C 强制策略,且不开放调试参数。
京公网安备11010502031690号
网站经营企业工商营业执照
