近日,谷歌宣布计划使https://页面不再加载HTTP子资源,在那些HTTPS安全页面加载不安全的HTTP子资源是很常见的。这些子资源中的许多默认情况下都是被阻止的,但有些会作为图像、音频和视频或“混合内容”潜入,混合内容可能会使用户面临风险,比如脚本、iframe与媒体文件。
多年来,“混合内容”一直是Web开发人员的祸根,在将网站切换为使用HTTPS之后,经常仍有图像,脚本或其他文件仍通过HTTP加载,这会触发“混合内容”安全错误在用户浏览器中如下所示:
Chrome计划从2019年12月开始测试的 Chrome 79版开始,将会逐步阻止所有混合内容。到2020年1月,Chrome 80会将所有混合音频和视频资源自动升级为HTTPS,如果无法通过HTTPS加载,则将自动被阻止。终,在2020年2月,Chrome 81将所有混合图像、音频与视频自动升级为HTTPS,并且阻止那些无法通过HTTPS加载的图像。
同时,Chrome 79中还将添加一个新设置项,用户可以用来取消阻止特定站点上的混合内容。这样的过渡可以使开发人员有时间将其混合内容迁移到HTTPS上。
这样更改以后,将有助于保护用户在网络上的隐私和安全性,并能为用户带来很好的使用体验,网站实现HTTPS加密需要部署SSL证书。