Chrome将逐步阻止HTTPS页面的HTTP资源下载-阿里云开发者社区

开发者社区> 北阙青云> 正文

Chrome将逐步阻止HTTPS页面的HTTP资源下载

简介: 谷歌在2月份宣布逐步阻止HTTPS页面的HTTP资源下载,确保HTTPS安全页面仅下载安全文件。
+关注继续查看

chrome

依据去年的一项计划,谷歌在2月份宣布逐步阻止HTTPS页面的HTTP资源下载,确保HTTPS安全页面仅下载安全文件。

什么是混合内容?

HTTPS混合内容错误一直是网站推进HTTPS加密的一大阻碍。HTTPS混合内容错误是指,初始网页通过安全的HTTPS连接加载,但页面中其他资源(如:图像、视频、样式表、脚本)却通过不安全的HTTP连接加载,这样就会出现混合内容错误(也就是不安全因素)。

不安全资源加载会威胁用户的安全和隐私。例如,攻击者可以将通过HTTP下载的程序替换为恶意程序,窃听者可以读取用户通过HTTP下载的银行对账单等等。为了解决这些风险,谷歌计划最终在Chrome中禁止加载不安全资源。

Chrome阻止混合内容的计划表

从Chrome 82(将于2020年4月发布)开始,Chrome将逐渐开始警告并随后阻止这些混合内容下载。对用户构成最大风险的文件类型(例如可执行文件)将首先受到影响,随后的版本将涵盖更多文件类型。这种逐步推出的目的是快速缓解最严重的风险,为开发人员提供机会更新网站,并最大程度地减少Chrome用户必须看到的警告数量。谷歌计划首先在桌面平台(Windows,macOS,Chrome OS和Linux)上推出对混合内容下载的限制,针对桌面平台的推进计划如下:

chrome_1

在Chrome 81(于2020年3月发布)和更高版本中:Chrome浏览器会在控制台消息中对所有混合内容下载进行警告。
在Chrome 82(于2020年4月发布)中:Chrome浏览器将警告可执行文件(例如.exe)的混合内容下载。
在Chrome 83(于2020年6月发布)中:Chrome浏览器将阻止混合内容可执行文件;Chrome会警告混合内容档案(.zip)和磁盘映像(.iso)。
在Chrome 84(于2020年8月发布)中:Chrome浏览器将阻止混合内容的可执行文件,归档文件和磁盘映像;Chrome浏览器会警告所有其他混合内容下载,但图片,音频,视频和文本格式除外。
在Chrome 85(于2020年9月发布)中:Chrome浏览器会警告您下载图像,音频,视频和文本的混合内容;Chrome浏览器将阻止所有其他混合内容下载。
在Chrome 86(2020年10月发布)及更高版本中:Chrome将阻止所有混合内容下载。
chrome_2

在Android和iOS的Chrome中发布会延迟一个版本,并开始在Chrome 83中发出警告。移动平台具有更好的本机保护,可抵御恶意文件,这种延迟将使开发人员在影响其移动用户之前先开始更新其网站。

网站开发者如何处理混合内容

网站开发者应及时排查网站内的加载文件,确保所有文件都仅通过HTTPS下载,申请沃通SSL证书为网站及所有资源子域名提供HTTPS加密。在当前版本的Chrome Canary或发布的Chrome 81中,开发人员可以通过启用chrome:// flags /上的"Treat risky downloads over insecure connections as active mixed content" 来激活警告用于测试。

1、查找混合内容
使用Chrome的“开发者工具”查找网页是否存在混合内容。访问需要测试网页,打开开发者工具,选择“Security”-"Non-Secure Origin",就可以看到混合内容。

2、确保所有资源域名都部署了HTTPS证书
如果加载的资源来源于子域名,则子域名也需要配置HTTPS证书。沃通CA提供通配型SSL证书,可同时保护同一主域名下所有二级子域名。

3、解决方式
站外资源:测试链接是否支持HTTPS,如果可以访问,直接在代码中URL修改http为https的链接。站内资源:设置全站HTTPS加密,确保所有资源通过HTTPS协议加载。

原文链接:https://www.wosign.com/News/news_2020032601.htm

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10012 0
Wordpress上传资源报HTTP错误
简述 在公司内部搭建内部视频学习网站,经过对比选择了wordpress进行站点搭建。但是在上传视频遭遇到了各种问题,特将此处理过程进行记录。 原因排查 1.上传一个十几兆mp4的文件上传进度到达百分之百,会媒体提示http错误 2.刚开始怀疑是PHP、Nginx的上传大小限制了。
1542 0
Java程序在K8S容器部署CPU和Memory资源限制相关设置
背景 在k8s docker环境中执行Java程序,因为我们设置了cpu,memory的limit,所以Java程序执行时JVM的参数没有跟我们设置的参数关联,导致JVM感知到的cpu和memory是我们k8s的work node上的cpu和memory大小。
5695 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10880 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13811 0
fbh
Chrome浏览器强制刷新页面(不使用缓存)
在Chrome浏览器中按下F5或 Ctrl+F5 都没用,Chrome总是会强制使用页面缓存进行刷新,如何不使用页面缓存进行刷新? Chrome官方推荐使用如下快捷键,就可以不使用页面缓存进行刷新 Windows和Linu...
3941 0
20个不错的CSS页面布局相关资源推荐
译文出自:开源中国社区
419 0
+关注
36
文章
5
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载