问题：html2canvas加载出现不安全连接警告，如何解决？

背景与问题描述

在现代 Web 开发中，截图功能被广泛应用于数据可视化、报表导出、页面存档等场景。其中，html2canvas 是一个常用的前端截图库，它可以将 HTML 页面或部分 DOM 元素渲染为 canvas 图像。

然而，在使用 html2canvas 时，若页面中引用了跨域资源（如图片、字体等），浏览器控制台可能会报出“不安全连接”或“Mixed Content”警告，导致截图失败或资源无法加载。

问题的根本原因

该问题的根本原因在于浏览器的同源策略（Same-Origin Policy）和内容混合（Mixed Content）限制。

• 同源策略：浏览器出于安全考虑，限制了从不同来源（协议、域名、端口）加载的资源。
• Mixed Content：当 HTTPS 页面中加载了 HTTP 资源，浏览器会阻止加载这些“不安全”的资源。

问题分析过程

开发者在使用 html2canvas 时，可以通过浏览器控制台观察到如下现象：

1. 图片资源加载失败，提示 Blocked loading mixed active content。
2. 字体资源无法加载，提示 Font from origin has been blocked from loading by CORS policy。
3. canvas 被标记为“污染”（tainted），无法调用 toDataURL()。

这些现象表明 html2canvas 在尝试将页面内容绘制到 canvas 时，受到了浏览器安全策略的限制。

解决方案详解

针对 html2canvas 的跨域问题，可以采用以下几种方式解决：

1. 确保所有外部资源使用 HTTPS 协议

HTTPS 是现代 Web 的标准，使用 HTTPS 可以避免 Mixed Content 问题。

<img src="https://example.com/image.jpg" />

2. 设置 useCORS: true 选项启用跨域请求

html2canvas 提供了 useCORS 配置项，启用后会尝试使用 CORS 获取资源。

html2canvas(document.getElementById("capture"), {
  useCORS: true
}).then(canvas => {
  document.body.appendChild(canvas);
});

3. 对跨域图片添加 crossOrigin="anonymous" 属性

在 HTML 中为图片添加 crossOrigin 属性，可启用跨域请求并避免污染 canvas。

<img src="https://external.com/image.jpg" crossOrigin="anonymous" />

4. 通过后端代理加载外部资源

当无法控制外部资源的 CORS 策略时，可通过后端作为代理，将资源以同源方式返回给前端。

// Node.js 示例
app.get('/proxy', (req, res) => {
  const imageUrl = req.query.url;
  axios.get(imageUrl, { responseType: 'stream' }).then(response => {
    res.header('Content-Type', response.headers['content-type']);
    response.data.pipe(res);
  });
});

解决方案对比表

流程图展示