嘿，这个问题我碰到过不少，核心原因其实是Chromium内核（Edge和Chrome基于它）和Firefox对混合内容+带明文认证的URL的安全限制策略存在差异，具体来说有这两点：

1. Chromium对带明文认证的混合内容拦截更严格 #

你当前的场景是在HTTPS（SSL启用）的网站里加载HTTP的图片，这属于**混合内容（Mixed Content）**范畴。虽然图片通常属于浏览器允许的“被动显示内容”，但你的图片URL里包含了明文的用户名和密码（http://login:password@www.otherdomain.net/image.jpg这种形式）——Chromium内核对这种带敏感认证信息的非HTTPS资源会直接拦截，标记为blocked:origin，因为明文传递认证信息本身就存在极大安全风险，在HTTPS页面加载这类资源会破坏整个页面的安全上下文。

而Firefox在这方面的限制相对宽松，暂时允许这种带认证的HTTP图片加载，但这其实也不是长期安全的做法。

2. referrerPolicy="no-referrer"解决不了本质问题 #

你添加的referrerPolicy只是控制浏览器不发送页面的Referrer信息给图片服务器，但它无法绕过Chromium对“HTTPS页面加载带明文认证的HTTP资源”的安全拦截规则，这个策略和Referrer机制是完全独立的。

可行的解决办法 #

• 最安全且推荐的方案：
  1. 将图片所在的域名升级为HTTPS，消除混合内容的问题；
  2. 不要在URL里明文传递用户名和密码，改用更安全的认证方式：比如在请求图片时通过HTTP请求头的Authorization字段传递认证信息，或者让你的服务器做反向代理，把图片请求代理到同域名的HTTPS路径下，避免直接暴露外部的认证URL。
• 仅限测试环境的临时方案：
  如果你只是本地测试需要，可以在Chrome/Edge里修改浏览器参数：输入chrome://flags/#mixed-content-setting（Edge是edge://flags/#mixed-content-setting），将选项改为“允许显示不安全内容”，但这个做法会降低浏览器的安全防护，绝对不能用于正式生产环境。

内容的提问来源于stack exchange，提问作者Tony Ponce