Chrome將逐步阻止HTTPS頁(yè)面的HTTP資源下載

依據(jù)去年的一項(xiàng)計(jì)劃，谷歌在2月份宣布逐步阻止HTTPS頁(yè)面的HTTP資源下載，確保HTTPS安全頁(yè)面僅下載安全文件。

什么是混合內(nèi)容？

HTTPS混合內(nèi)容錯(cuò)誤一直是網(wǎng)站推進(jìn)HTTPS加密的一大阻礙。HTTPS混合內(nèi)容錯(cuò)誤是指，初始網(wǎng)頁(yè)通過安全的HTTPS連接加載，但頁(yè)面中其他資源（如：圖像、視頻、樣式表、腳本）卻通過不安全的HTTP連接加載，這樣就會(huì)出現(xiàn)混合內(nèi)容錯(cuò)誤（也就是不安全因素）。

不安全資源加載會(huì)威脅用戶的安全和隱私。例如，攻擊者可以將通過HTTP下載的程序替換為惡意程序，竊聽者可以讀取用戶通過HTTP下載的銀行對(duì)賬單等等。為了解決這些風(fēng)險(xiǎn)，谷歌計(jì)劃最終在Chrome中禁止加載不安全資源。

Chrome阻止混合內(nèi)容的計(jì)劃表

從Chrome 82（將于2020年4月發(fā)布）開始，Chrome將逐漸開始警告并隨后阻止這些混合內(nèi)容下載。對(duì)用戶構(gòu)成最大風(fēng)險(xiǎn)的文件類型（例如可執(zhí)行文件）將首先受到影響，隨后的版本將涵蓋更多文件類型。這種逐步推出的目的是快速緩解最嚴(yán)重的風(fēng)險(xiǎn)，為開發(fā)人員提供機(jī)會(huì)更新網(wǎng)站，并最大程度地減少Chrome用戶必須看到的警告數(shù)量。谷歌計(jì)劃首先在桌面平臺(tái)（Windows，macOS，Chrome OS和Linux）上推出對(duì)混合內(nèi)容下載的限制，針對(duì)桌面平臺(tái)的推進(jìn)計(jì)劃如下：

在Chrome 81（于2020年3月發(fā)布）和更高版本中：Chrome瀏覽器會(huì)在控制臺(tái)消息中對(duì)所有混合內(nèi)容下載進(jìn)行警告。

在Chrome 82（于2020年4月發(fā)布）中：Chrome瀏覽器將警告可執(zhí)行文件（例如.exe）的混合內(nèi)容下載。

在Chrome 83（于2020年6月發(fā)布）中：Chrome瀏覽器將阻止混合內(nèi)容可執(zhí)行文件；Chrome會(huì)警告混合內(nèi)容檔案（.zip）和磁盤映像（.iso）。

在Chrome 84（于2020年8月發(fā)布）中：Chrome瀏覽器將阻止混合內(nèi)容的可執(zhí)行文件，歸檔文件和磁盤映像；Chrome瀏覽器會(huì)警告所有其他混合內(nèi)容下載，但圖片，音頻，視頻和文本格式除外。

在Chrome 85（于2020年9月發(fā)布）中：Chrome瀏覽器會(huì)警告您下載圖像，音頻，視頻和文本的混合內(nèi)容；Chrome瀏覽器將阻止所有其他混合內(nèi)容下載。

在Chrome 86（2020年10月發(fā)布）及更高版本中：Chrome將阻止所有混合內(nèi)容下載。

在Android和iOS的Chrome中發(fā)布會(huì)延遲一個(gè)版本，并開始在Chrome 83中發(fā)出警告。移動(dòng)平臺(tái)具有更好的本機(jī)保護(hù)，可抵御惡意文件，這種延遲將使開發(fā)人員在影響其移動(dòng)用戶之前先開始更新其網(wǎng)站。

網(wǎng)站開發(fā)者如何處理混合內(nèi)容

網(wǎng)站開發(fā)者應(yīng)及時(shí)排查網(wǎng)站內(nèi)的加載文件，確保所有文件都僅通過HTTPS下載，申請(qǐng)沃通SSL證書為網(wǎng)站及所有資源子域名提供HTTPS加密。在當(dāng)前版本的Chrome Canary或發(fā)布的Chrome 81中，開發(fā)人員可以通過啟用chrome：// flags /上的"Treat risky downloads over insecure connections as active mixed content"?來激活警告用于測(cè)試。

1、查找混合內(nèi)容

使用Chrome的“開發(fā)者工具”查找網(wǎng)頁(yè)是否存在混合內(nèi)容。訪問需要測(cè)試網(wǎng)頁(yè)，打開開發(fā)者工具，選擇“Security”-"Non-Secure Origin"，就可以看到混合內(nèi)容。

2、確保所有資源域名都部署了HTTPS證書

如果加載的資源來源于子域名，則子域名也需要配置HTTPS證書。沃通CA提供通配型SSL證書，可同時(shí)保護(hù)同一主域名下所有二級(jí)子域名。

3、解決方式

站外資源：測(cè)試鏈接是否支持HTTPS，如果可以訪問，直接在代碼中URL修改http為https的鏈接。站內(nèi)資源：設(shè)置全站HTTPS加密，確保所有資源通過HTTPS協(xié)議加載。

云計(jì)算

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。