什么是“混合内容”,为什么Chrome会阻止它?

Google Chrome徽标,其中带有锁定图标。

Google Chrome浏览器已经阻止了网络上的某些类型的“混合内容”。 现在,谷歌宣布它将变得更加严肃:从2020年初开始,Chrome将默认阻止所有混合内容,从而破坏一些现有的网页。 这就是这个意思。

什么是混合内容?

这里有两种类型的内容:通过安全的加密HTTPS连接传递的内容,以及通过未加密的HTTP连接传递的内容。 使用HTTPS时,内容不能在传输过程中被监听或篡改,这就是为什么它的关键网站在处理财务信息或私人数据时提供加密的原因。

网络正在转移到安全的HTTPS网站。 如果您连接到未加密的旧HTTP网站,则Google Chrome浏览器现在会警告您这些网站“不安全”。 由于默认情况下网站应该只是安全的,因此Google现在默认甚至会隐藏“ https://”指示符 新的HTTP / 3标准将具有内置加密功能。

但是某些网页既不能完全是HTTPS也不能完全是HTTP。 某些网页是通过安全的HTTPS连接交付的,但是它们通过未加密的HTTP连接提取图像,脚本或其他资源。 这样的网页具有“混合内容”,因为它们不是完全安全的。 网页本身无法被篡改,但是可能会引入可能被篡改的脚本,图像或iframe(另一个网页上“框架”内的网页)。

为什么混合内容不好

Chrome警告混合内容图片。

混合的内容令人困惑。 您正在以某种方式查看既安全又不安全的网页。 例如,通常安全的网页可以通过HTTP提取JavaScript文件。 可以修改该脚本,例如,如果您使用的是不可信的公共Wi-Fi网络,则可以在网页上做很多讨厌的事情,从监视击键到插入跟踪cookie。

尽管脚本和iframe(“活动内容”)是最危险的,但即使图像,视频和音频混合的内容也可能存在风险。 例如,假设您正在查看一个安全的股票交易网站,该网站通过HTTP提取了股票历史记录。 该图像并不安全-可能在运输过程中被篡改以显示不正确的细节。 另外,由于它是通过未加密的连接传递的,因此任何窥探传输中数据的人都可能知道您要查看的库存。

像这样混合内容是个坏主意。 如果网页使用HTTPS,则还应通过HTTPS提取其所有资源。 这只是历史性的意外-网络始于HTTP,而网站逐渐升级为HTTPS。 正如他们所做的那样,他们并不总是更新到处都使用HTTPS资源。 或者,他们可能依赖于当时不支持HTTPS的第三方资源。

现在,随着Google和其他浏览器供应商使混合内容变得更加困难和令人沮丧,网站将不得不清理内容,以便其网页默认情况下可以继续工作。

Chrome究竟发生了什么变化?

Chrome当前阻止混合脚本和iframe。 在即将于2020年1月发布到早期发行版本中的Chrome 80中,Chrome将阻止混合的音频和视频资源-从技术上讲,它将尝试通过安全的HTTPS连接加载它们,如果不能,则阻止它们。 将会加载混合图像,但Chrome会指出网页“不安全”。在Chrome 81中,Chrome也将停止加载混合图像。 用户可以允许加载混合内容,但默认情况下不会加载。

这是使网络更安全的全部部分。 Google的博客文章说,它希望“不安全”消息“将促使网站将其图像迁移到HTTPS。”

Chrome如何让您取消阻止混合内容

Google Chrome中的不安全内容被阻止消息。

Chrome浏览器已经阻止了某些类型的混合内容,在地址栏中带有屏蔽图标,并显示“不安全的内容被阻止”消息。 您可以在Google创建的此混合内容示例页面上查看其工作方式。 例如,要取消阻止混合内容脚本,您必须单击名为“加载不安全脚本”的链接。

如果您同意运行混合内容,则网页将从“安全”更改为“不安全”。

在Google Chrome浏览器中取消阻止混合内容脚本后,显示“不安全”消息。

Google将在将于2019年12月发布的Chrome 79中简化此操作。您必须单击页面地址左侧的锁定图标,单击“网站设置”,然后取消阻止该网站的混合内容。

该选项变得更加隐蔽,但这就是重点:大多数人永远不需要为站点启用混合内容。 网站开发人员需要修复其网站才能安全地提供资源。 此选项将确保使用较旧业务站点的任何人都可以继续访问它,即使每个人都禁用了混合内容。

如果您需要一个需要这样做的网站,请不要担心:Google尚未宣布删除在Chrome中加载混合内容的选项的日期。 Google的网络浏览器默认会阻止所有混合内容,但将继续提供在可预见的将来启用混合内容的选项。

那么其他浏览器呢?

在Firefox中取消阻止混合内容后,“连接不安全”警告。

Chrome并不孤单。 Firefox也阻止脚本和iframe之类的混合内容,并要求您单击“立即禁用保护 ”设置以重新启用它。 我们希望Mozilla能够效法Google的脚步。 苹果的Safari也积极阻止混合内容

而且,当然,Microsoft的新Edge浏览器将基于Chromium代码,而Chromium代码构成了Google Chrome浏览器的基础,其行为类似于Chrome浏览器。

相关: 为什么谷歌浏览器说网站“不安全”?

赞 (0)
分享到:更多 ()