Chrome将逐步阻止HTTPS页面的HTTP资源下载

举报
沃通WoTrus 发表于 2020/03/26 17:49:44 2020/03/26
【摘要】 谷歌在2月份宣布逐步阻止HTTPS页面的HTTP资源下载,确保HTTPS安全页面仅下载安全文件。

1585216026841878.jpg


依据去年的一项计划,谷歌在2月份宣布逐步阻止HTTPS页面的HTTP资源下载,确保HTTPS安全页面仅下载安全文件。

什么是混合内容?

HTTPS混合内容错误一直是网站推进HTTPS加密的一大阻碍。HTTPS混合内容错误是指,初始网页通过安全的HTTPS连接加载,但页面中其他资源(如:图像、视频、样式表、脚本)却通过不安全的HTTP连接加载,这样就会出现混合内容错误(也就是不安全因素)。 

不安全资源加载会威胁用户的安全和隐私。例如,攻击者可以将通过HTTP下载的程序替换为恶意程序,窃听者可以读取用户通过HTTP下载的银行对账单等等。为了解决这些风险,谷歌计划最终在Chrome中禁止加载不安全资源。 

Chrome阻止混合内容的计划表

Chrome 82(将于20204月发布)开始,Chrome将逐渐开始警告并随后阻止这些混合内容下载。对用户构成最大风险的文件类型(例如可执行文件)将首先受到影响,随后的版本将涵盖更多文件类型。这种逐步推出的目的是快速缓解最严重的风险,为开发人员提供机会更新网站,并最大程度地减少Chrome用户必须看到的警告数量。谷歌计划首先在桌面平台(WindowsmacOSChrome OSLinux)上推出对混合内容下载的限制针对桌面平台的推进计划如下:

1585215992510008.png


  • Chrome 81(于20203月发布)和更高版本中:Chrome浏览器会控制台消息中对所有混合内容下载进行警告

  • Chrome 82(于20204月发布)中:Chrome浏览器将警告可执行文件(例如.exe)的混合内容下载。

  • Chrome 83(于20206月发布)中:Chrome浏览器将阻止混合内容可执行文件Chrome会警告混合内容档案(.zip)和磁盘映像(.iso)。

  • Chrome 84(于20208月发布)中:Chrome浏览器将阻止混合内容的可执行文件,归档文件和磁盘映像Chrome浏览器会警告所有其他混合内容下载,但图片,音频,视频和文本格式除外。

  • Chrome 85(于20209月发布)中:Chrome浏览器会警告您下载图像,音频,视频和文本的混合内容Chrome浏览器将阻止所有其他混合内容下载

  • Chrome 86202010月发布)及更高版本中Chrome将阻止所有混合内容下载。

1585215992964790.png

 AndroidiOSChrome中发布会延迟一个版本,并开始在Chrome 83中发出警告。移动平台具有更好的本机保护,可抵御恶意文件,这种延迟将使开发人员在影响其移动用户之前先开始更新其网站。

 

网站开发者如何处理混合内容

网站开发者应及时排查网站内的加载文件,确保所有文件都仅通过HTTPS下载,申请沃通SSL证书为网站及所有资源子域名提供HTTPS加密。在当前版本的Chrome Canary或发布的Chrome 81中,开发人员可以通过启用chrome// flags /上的"Treat risky downloads over insecure connections as active mixed content" 来激活警告用于测试。

1、查找混合内容

使用Chrome开发者工具查找网页是否存在混合内容。访问需要测试网页,打开开发者工具,选择Security-"Non-Secure Origin",就可以看到混合内容。

1585215992292146.png

2、确保所有资源域名都部署了HTTPS证书

如果加载的资源来源于子域名,则子域名也需要配置HTTPS证书。沃通CA提供通配型SSL证书,可同时保护同一主域名下所有二级子域名。

3、解决方式

站外资源:测试链接是否支持HTTPS,如果可以访问,直接在代码中URL修改httphttps的链接。站内资源:设置全站HTTPS加密,确保所有资源通过HTTPS协议加载。


原文链接:https://www.wosign.com/News/news_2020032601.htm

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。