如果您对Chrome浏览器非常不满,警告您启用HTTPS的网站包含有时会强制用户关闭标签的不安全的第三方内容,那么Google已经为您解决了这个问题。
随着谷歌流行浏览器Chrome 43的下一版本的发布,开发人员和系统管理员可能更容易确保HTTPS网站不会受到不安全的HTTP资源的影响。
到目前为止,如果任何HTTPS页面从未加密的HTTP URL加载任何资源,Google的当前浏览器会在挂锁上以黄色三角形的形式标记“混合内容警告”。
例如,如果您的网站启用了HTTPS但您的网站页面正在加载通过常规明文HTTP URL检索的内容(如图像),则认为该连接仅部分加密。
部分加密通信意味着:
对安全网页上的未加密的HTTP内容可能被黑客也可以访问如可以通过修改人在这方面的中间人(MITM)攻击,从而导致不安全的连接。网页的这种行为称为混合内容页面。
但是,混合内容不再是问题:
正如谷歌所说,“混合内容检查会引起麻烦”,因此该公司正在其下一版浏览器中引入一个新命令。
由于新的浏览器内容安全策略指令(称为升级不安全资源),Chrome 43(目前处于测试阶段,但应该在5月份保持稳定)不会标记任何混合内容警告。
升级不安全资源“导致Chrome在获取之前将不安全的资源请求升级到HTTPS,”Google在其博客文章中解释道。
如果所有内容都由您控制,搜索引擎巨头建议您通过HTTP响应标头“Content-Security-Policy:upgrade-insecure-requests”启用它。
但是,如果从您无法控制的Web服务器提供不安全资源,则可以在页面中包含。
现在,这将使开发人员和系统管理员感到高兴,因为浏览器地址栏中的简单黄色三角警告栏使他们的用户三思而后行,无论他们是继续浏览还是关闭标签。
不仅如此,谷歌最近还宣布计划在今年6月30日之前将其广告平台转移到加密的HTTPS,以帮助保护其在线用户的隐私和安全。
