为了保护用户的安全,Google 在今年初开始使用Chrome 68 将HTTP网站标记为“不安全”。由于此更改,用户在浏览潜在的不安全网站时变得更容易发现。此外,它还提示开发人员使用SSL证书
更新其网站。现在,为了进一步增强安全性,Google正在努力防止不安全的HTTP子资源加载到HTTPS页面上。
在Chromium博客的最新帖子中,该公司概述了完全阻止混合内容的步骤。对于不知道的情况,HTTPS页面通常具有混合内容,其中某些子资源是通过HTTP不安全地加载的。但是,尽管浏览器默认会阻止多种类型的混合内容,但仍允许加载图像,音频和视频。这可能会使攻击者篡改混合内容并危及用户安全。
因此,从Chrome 79开始,浏览器默认将逐渐移动以阻止所有混合内容。为了防止网站因更改而中断,Google会将混合资源自动升级到HTTPS。但是,用户仍然可以选择退出特定网站上的混合内容阻止。该公司还为开发人员提供了资源,以帮助他们找到并修复其网站上的混合内容。
在将于今年12月发布到稳定版频道的Chrome 79中,Google将引入一种新设置来取消阻止混合内容。新设置将应用于混合脚本,iframe和Chrome当前默认阻止的其他混合内容。然后,混合的音频和视频资源将在Chrome 80中自动升级到HTTPS。如果资源无法通过HTTPS加载,则会被阻止。但是,仍然可以加载混合图像,但是它们会在多功能框中显示“不安全”标签。
在以下Chrome 81更新中,混合图像也将自动升级为HTTPS。再一次,无法通过HTTPS加载的图像将被阻止。希望将其混合内容迁移到HTTPS的开发人员可以在下面的官方文章中查看可用资源。