根据往年的一项方案,谷歌在2月份公布逐渐阻遏平安页面仅下载平安文件。
什么是混合内容?
毗连加载,如许就会呈现混合内容错误(也就是不平安因素)。
不平安资本加载会威胁用户的平安和隐私。例如,进攻者能够将通过中制止加载不平安资本。
Chrome阻遏混合内容的方案表
从Chrome 82(将于2020年4月发布)起头,Chrome将逐步起头警告并随后阻遏那些混合内容下载。对用户构成更大风险的文件类型(例如可施行文件)将起首遭到影响,随后的版本将涵盖更多文件类型。那种逐渐推出的目标是快速缓解最严峻的风险,为开发人员供给时机更新网站,并更大程度地削减Chrome用户必需看到的警告数量。谷歌方案起首在桌面平台(Windows,macOS,Chrome OS和Linux)上推出对混合内容下载的限造,针对桌面平台的推进方案如下:
在Chrome 81(于2020年3月发布)和更高版本中:Chrome阅读器会在掌握台动静中对所有混合内容下载停止警告。
在Chrome 82(于2020年4月发布)中:Chrome阅读器将警告可施行文件(例如.exe)的混合内容下载。
在Chrome 83(于2020年6月发布)中:Chrome阅读器将阻遏混合内容可施行文件;Chrome会警告混合内容档案(.zip)和磁盘映像(.iso)。
在Chrome 84(于2020年8月发布)中:Chrome阅读器将阻遏混合内容的可施行文件,回档文件和磁盘映像;Chrome阅读器会警告所有其他混合内容下载,但图片,音频,视频和文本格局除外。
在Chrome 85(于2020年9月发布)中:Chrome阅读器会警告您下载图像,音频,视频和文本的混合内容;Chrome阅读器将阻遏所有其他混合内容下载。
在Chrome 86(2020年10月发布)及更高版本中:Chrome将阻遏所有混合内容下载。
在Android和iOS的Chrome中发布会延迟一个版本,并起头在Chrome 83中发出警告。挪动平台具有更好的本机庇护,可抵御歹意文件,那种延迟将使开发人员在影响其挪动用户之前先起头更新其网站。
网站开发者若何处置混合内容
网站开发者应及时排查网站内的加载文件,确保所有文件都仅通过" 来激活警告用于测试。
1、查找混合内容
利用Chrome的“开发者东西”查找网页能否存在混合内容。拜候需要测试网页,翻开开发者东西,抉择“Security”-"Non-Secure Origin",就能够看到混合内容。
2、确保所有资本域名都摆设了证书
假设加载的资本来源于子域名,则子域名也需要设置装备摆设证书,可同时庇护统一主域名下所有二级子域名。
3、处理体例
站外资本:测试链接能否撑持协议加载。
动静来源:谷歌平安博客