行业新闻与博客
不再有关于 HTTPS 的混合消息
更新(04/06/2020):最初计划在 Chrome 81 上进行混合图像自动升级,但至少要延迟到 Chrome 84 才能进行。查看 Chrome 平台状态条目,以获取有关何时自动升级和阻止混合图像的最新信息无法通过 https:// 加载。具有混合图像的网站将继续触发“不安全”警告。
今天,我们宣布 Chrome 将逐步开始确保 https:// 页面只能加载安全的 https:// 子资源。在下面概述的一系列步骤中,默认情况下,我们将开始阻止混合内容(https:// 页面上不安全的 http:// 子资源)。此项更改将改善用户在 Web 上的隐私和安全性,并为用户提供更清晰的浏览器安全 UX。
在过去的几年中,网络在过渡到 HTTPS 方面取得了长足的进步:Chrome 用户现在将其 90%以上的浏览时间都花在所有主要平台上的 HTTPS 上。现在,我们将注意力转移到确保 Web 上的 HTTPS 配置是安全的和最新的。
HTTPS 页面通常会遇到一个称为混合内容的问题,该页面上的子资源会通过 http:// 不安全地加载。浏览器默认情况下会阻止多种类型的混合内容,例如脚本和 iframe,但是仍然允许加载图像,音频和视频,这威胁到用户的隐私和安全性。例如,攻击者可能篡改股票图表的混合图像以误导投资者,或将跟踪 cookie 注入混合资源负载中。加载混合内容还会导致浏览器安全性 UX 混乱,该页面显示为既不安全也不不安全,而是介于两者之间。
从 Chrome 79 开始,将采取一系列步骤,默认情况下,Chrome 将逐渐移至阻止所有混合内容。 为了最大程度地减少损坏,我们将自动将混合资源升级到 https://,因此,如果其子资源已经通过 https:// 提供,那么站点将继续工作。用户将能够启用一项设置,以选择退出特定网站上的混合内容阻止,并且在下面,我们将介绍开发人员可以用来帮助他们查找和修复混合内容的资源。
时间轴
我们将通过一系列步骤来推出此更改,而不是立即阻止所有混合内容。
- 在 2019年12月发布到稳定频道的Chrome 79中,我们将引入新的设置来取消阻止特定网站上的混合内容。此设置将应用于混合脚本,iframe 和 Chrome 当前默认阻止的其他类型的内容。用户可以通过单击任意 https:// 页面上的锁定图标并单击“站点设置”来切换此设置。这将替换显示在多功能框右侧的屏蔽图标,以取消阻止以前版本的台式机 Chrome 浏览器中的混合内容。
访问网站设置,用户可以从中取消阻止 Chrome 79 中混合内容的加载。
- 在Chrome 80 中,混合的音频和视频资源将自动升级为 https://,并且默认情况下,如果它们无法通过 https:// 加载,Chrome 将阻止它们。Chrome 80 将于 2020年1月发布到早期版本的渠道。用户可以使用上述设置取消屏蔽受影响的音频和视频资源。
- 同样在Chrome 80 中,仍然可以加载混合图像,但是它们会使 Chrome 在多功能框中显示“ Not Secure”芯片。我们期望这对于用户而言是一个更清晰的安全性 UI,它将激励网站将其图像迁移到 HTTPS。开发人员可以使用 upgrade-insecure-requests 或 block-all-mixed-content 内容安全策略指令来避免此警告。
在 Chrome 80 中加载混合图像的网站的多功能框处理。
- 在Chrome 81 中,混合图像会自动升级到 https://,如果无法通过 https:// 加载,Chrome 会默认将其阻止。Chrome 81 将于 2020年2月发布到早期发布渠道。
开发
人员资源开发人员应立即将其混合内容迁移到 https://,以避免出现警告和损坏。以下是一些资源:
- 使用内容安全政策和 Lighthouse 的混合内容审核来发现并修复您网站上的混合内容。
- 有关将服务器迁移到 HTTPS 的一般建议,请参阅本指南。
- 请与您的 CDN,Web 主机或内容管理系统联系,以查看它们是否具有调试混合内容的特殊工具。例如,CloudFlare 的提供了一个工具来重写混合内容到 https://,和 WordPress 插件也是可用的。
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服