Chrome 将不再允许 https:// 页面加载 HTTP 资源

来源: OSCHINA
编辑: h4cd
2019-10-05

Chrome 安全小组近日在一篇博客文章中表示,计划使 https:// 页面不再加载 HTTP 子资源

根据 Google 的说法,Chrome 用户现在在所有主要平台上的 HTTPS 上花费了 90% 以上的浏览时间。但是,那些安全页面加载不安全的 HTTP 子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的,但有些会作为图像、音频和视频或“混合内容”潜入,混合内容可能会使用户面临风险,比如脚本、iframe 与媒体文件。

从今年 12 月开始测试的 Chrome 79 开始,Chrome 将会逐步阻止所有混合内容。到 2020 年 1 月,Chrome 80 会将所有混合音频和视频资源自动升级为 HTTPS,如果无法通过 HTTPS 加载,则将自动被阻止。最终,在 2020 年 2 月,Chrome 81 将所有混合图像、音频与视频自动升级为 HTTPS,并且阻止那些无法通过 HTTPS 加载的图像。

同时,Chrome 79 中还将添加一个新设置项,用户可以用来取消阻止特定站点上的混合内容。

这样的过渡使开发人员有时间将其混合内容迁移到 HTTPS 上。

类似的措施,此前我们报导过,谷歌 Chrome 工程师 Emily Stark 已经在 W3C 邮件列表上提出,计划在 HTTPS 网站上默认禁止一些通过 HTTP 下载的行为,当涉及到下载 EXE、DMG(Mac 应用二进制文件)、CRX(Chrome 扩展包) 与诸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z 等主流压缩/打包文件时,浏览器将阻止下载。默认阻止下载的这些文件类型被认为是“高风险”的,因为它们最有可能被滥用来隐藏恶意程序。

展开阅读全文
14 收藏
分享
加载中
精彩评论
从这种行为就能看出 go 风格设计的根源。。看了 google 想替用户管理整个世界。。
2019-10-05 09:26
20
举报
Google连你看的新闻都会帮你筛选
2019-10-06 02:19
8
举报
😥 我只是评价 google 的行为而已,跟 go 有多大关系?只是个人不喜欢而已,还不允许我说话了。难不成不喜欢 go 就是大逆不道了?
2019-10-05 17:53
3
举报
赞一个,没有google什么时候才能普及https。没有谷歌web安全真的会止步不前,除了运营商和监网人员不希望你用https外,所有人都欢迎https 。
2019-10-09 18:49
2
举报
阿里云就可以免费一年的HTTPS证书啊
2019-10-05 20:20
1
举报
最新评论 (26)
赞一个,没有google什么时候才能普及https。没有谷歌web安全真的会止步不前,除了运营商和监网人员不希望你用https外,所有人都欢迎https 。
2019-10-09 18:49
2
回复
举报
意思 静态资源文件必须使用 https ?
2019-10-08 15:22
0
回复
举报
求教下新旧域名要怎么同时上https。虽然知道有泛证书,但太贵了不合适
2019-10-06 18:13
0
回复
举报
有免费的,3个月一年,写个脚本自动检测续
2019-10-07 09:35
0
回复
举报
好的,谢谢
2019-10-07 11:21
0
回复
举报
Google连你看的新闻都会帮你筛选
2019-10-06 02:19
8
回复
举报
别的还好,localhost,192.168各种问题,各种麻烦! 你能不能先判断下是不是本地的。。。
2019-10-06 00:24
0
回复
举报
应该会有开发模式的,而且这种功能都有高级选项设置。
2019-10-06 00:29
0
回复
举报
这的亏有免费的证书了,要不然真蛋疼
2019-10-05 17:35
1
回复
举报
您好,请问个人站长怎么搞免费分https?
2019-10-05 15:37
0
回复
举报
阿里云就可以免费一年的HTTPS证书啊
2019-10-05 20:20
1
回复
举报
LetsEncrypt.org有免费的。你也可以上GoGetSSL.com 付费购买收费的证书,也不是很贵。另外,各种云平台基本有提供免费证书。
2019-10-05 22:42
0
回复
举报
acme.sh 不客气
2019-10-06 22:07
0
回复
举报
不行就自己代理到自己的服务器上呗
2019-10-05 14:30
0
回复
举报
这群人一天到晚屁眼痛?
2019-10-05 14:15
0
回复
举报
麻烦的一批。。。
2019-10-05 10:56
0
回复
举报
更多评论
26 评论
14 收藏
分享
返回顶部
顶部