发现新大陆。

偶然一天，发现一个问题，有的https站点可以加载http资源，虽然浏览器显示不安全，但是加载没问题。
有的https网站，代码中是http，但是请求的确实https。

原来是这样。

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"/>
加入head中，就会强制请求https了。