Chrome 将不再允许 https:// 页面加载 HTTP 资源

h4cd
 h4cd
发布于 2019年10月05日
收藏 15

Chrome 安全小组近日在一篇博客文章中表示,计划使 https:// 页面不再加载 HTTP 子资源

根据 Google 的说法,Chrome 用户现在在所有主要平台上的 HTTPS 上花费了 90% 以上的浏览时间。但是,那些安全页面加载不安全的 HTTP 子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的,但有些会作为图像、音频和视频或“混合内容”潜入,混合内容可能会使用户面临风险,比如脚本、iframe 与媒体文件。

从今年 12 月开始测试的 Chrome 79 开始,Chrome 将会逐步阻止所有混合内容。到 2020 年 1 月,Chrome 80 会将所有混合音频和视频资源自动升级为 HTTPS,如果无法通过 HTTPS 加载,则将自动被阻止。最终,在 2020 年 2 月,Chrome 81 将所有混合图像、音频与视频自动升级为 HTTPS,并且阻止那些无法通过 HTTPS 加载的图像。

同时,Chrome 79 中还将添加一个新设置项,用户可以用来取消阻止特定站点上的混合内容。

这样的过渡使开发人员有时间将其混合内容迁移到 HTTPS 上。

类似的措施,此前我们报导过,谷歌 Chrome 工程师 Emily Stark 已经在 W3C 邮件列表上提出,计划在 HTTPS 网站上默认禁止一些通过 HTTP 下载的行为,当涉及到下载 EXE、DMG(Mac 应用二进制文件)、CRX(Chrome 扩展包) 与诸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z 等主流压缩/打包文件时,浏览器将阻止下载。默认阻止下载的这些文件类型被认为是“高风险”的,因为它们最有可能被滥用来隐藏恶意程序。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.dbndka.com.cn]
本文标题:Chrome 将不再允许 https:// 页面加载 HTTP 资源
加载中

精彩评论

lidanger
lidanger
从这种行为就能看出 go 风格设计的根源。。看了 google 想替用户管理整个世界。。
egmkang
egmkang
Google连你看的新闻都会帮你筛选
lidanger
lidanger
?? 我只是评价 google 的行为而已,跟 go 有多大关系?只是个人不喜欢而已,还不允许我说话了。难不成不喜欢 go 就是大逆不道了?
谁来与我大战三百回合
赞一个,没有google什么时候才能普及https。没有谷歌web安全真的会止步不前,除了运营商和监网人员不希望你用https外,所有人都欢迎https 。
大盘
大盘
阿里云就可以免费一年的HTTPS证书啊

最新评论(26

谁来与我大战三百回合
赞一个,没有google什么时候才能普及https。没有谷歌web安全真的会止步不前,除了运营商和监网人员不希望你用https外,所有人都欢迎https 。
小云白
小云白
意思 静态资源文件必须使用 https ?
c
cia1209
求教下新旧域名要怎么同时上https。虽然知道有泛证书,但太贵了不合适
snamper
snamper
有免费的,3个月一年,写个脚本自动检测续
c
cia1209
好的,谢谢
egmkang
egmkang
Google连你看的新闻都会帮你筛选
没有头像也是一种帅
没有头像也是一种帅
别的还好,localhost,192.168各种问题,各种麻烦! 你能不能先判断下是不是本地的。。。
dingdayu
dingdayu
应该会有开发模式的,而且这种功能都有高级选项设置。
北极心
北极心
这的亏有免费的证书了,要不然真蛋疼
开源中国首席罗纳尔多
开源中国首席罗纳尔多
您好,请问个人站长怎么搞免费分https?
大盘
大盘
阿里云就可以免费一年的HTTPS证书啊
苦寒竹
苦寒竹
LetsEncrypt.org有免费的。你也可以上GoGetSSL.com 付费购买收费的证书,也不是很贵。另外,各种云平台基本有提供免费证书。
yywww
yywww
acme.sh 不客气
cIouddyy
cIouddyy
不行就自己代理到自己的服务器上呗
亡灵序曲
亡灵序曲
这群人一天到晚屁眼痛?
高久峰是个大胖子
麻烦的一批。。。
返回顶部
顶部
天津时时彩