2019年10月3日,Google宣布Chrome将逐步开始确保HTTPS页面只能加载安全的HTTPS子资源。在下面概述的一系列步骤中,默认情况下,Google将开始阻止混合内容(HTTPS页面上不安全的HTTP子资源)。此项更改将改善用户在网络上的隐私和安全性,并为用户提供更清晰的浏览器安全性用户体验。

在过去的几年中,网络在过渡到HTTPS方面取得了很大的进步:现今Chrome用户花费了90%以上的浏览时间在所有主流平台的HTTPS上。现在,Google将注意力转移到确保Web上的HTTPS配置是安全且最新的。

HTTPS页面通常会遇到一个称为混合内容的问题,该页面上的子资源会通过HTTP不安全地加载。浏览器默认情况下会阻止多种类型的混合内容,例如脚本和iframe,但是仍然允许加载图像、音频和视频,这威胁到用户的隐私和安全性。例如,攻击者可能篡改股票图表的混合图像以误导投资者,或将跟踪cookie注入混合资源负载中。加载混合内容还会导致浏览器安全性UX混乱,该页面介于既不安全也安全之间。

从Chrome 79开始,按照一系列步骤,Chrome将逐渐移至默认情况下阻止所有混合内容。为了最大程度地减少破坏,Google将自动把混合资源升级到HTTPS,因此如果站点的子资源已经通过HTTPS提供,那么站点将继续工作。用户将能够启用一项设置,以选择退出特定网站上的混合内容阻止,下面将介绍可用来帮助开发人员查找和修复混合内容的资源。

时间轴

Google将通过一系列步骤来推进此更改,而不是立即阻止所有混合内容。

l 2019年12月发布稳定版的Chrome 79中,将引入一个新设置来取消屏蔽特定网站上的混合内容。此设置将应用于混合脚本、iframe以及Chrome当前默认阻止的其他类型的内容。用户可通过单击任意HTTPS页面上的“锁”型图标并单击【站点设置】来切换此设置。

1.png

这将替换地址栏右侧的“盾”型图标,以取消屏蔽早期版本的台式机Chrome浏览器中的混合内容。

l  在将于2020年1月发布到早期版本的Chrome 80中,混合的音频和视频资源将自动升级到HTTPS,如果它们无法通过HTTPS加载,则Chrome默认会阻止它们。用户可以使用上述设置取消屏蔽受影响的音频和视频资源。

l  同样在Chrome 80中,仍然可以加载混合图像,但是它们会使Chrome在地址栏中显示“Not Secure”标签。Google期望这对于用户来说是一个更清晰的安全性UI,它将激发网站将其图像迁移到HTTPS。开发人员可以使用upgrade-inSecure-requeStSblock-all-mixed-content内容安全策略指令来避免此警告。

2.png

l  在将于2020年2月发布到早期发布的Chrome 81中,混合图像会自动升级到HTTPS,如果无法通过HTTPS加载,Chrome会默认将其阻止。

开发人员的资源

开发人员应立即将其混合内容迁移到HTTPS,以避免出现警告和损坏。以下是一些资源:

l  使用 Content Security PolicyLighthouse的混合内容审核来发现并修复您网站上的混合内容。

l  有关将服务器迁移到HTTPS的一般建议,请参阅本指南

 l请与你的CDN、Web主机或内容管理系统联系,以查看它们是否具有调试混合内容的特殊工具。例如,CloudFlare提供此工具来重写混合内容到HTTPS,同样WordPreSS插件也是可用的。