Chrome 将不再允许 https:// 页面加载 HTTP 资源

h4cd
?h4cd
发布于 2019年10月05日
收藏 13

Chrome 安全小组近日在一篇博客文章中表示,计划使 https:// 页面不再加载 HTTP 子资源

根据 Google 的说法,Chrome 用户现在在所有主要平台上的 HTTPS?上花费了 90% 以上的浏览时间。但是,那些安全页面加载不安全的 HTTP 子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的,但有些会作为图像、音频和视频或“混合内容”潜入,混合内容可能会使用户面临风险,比如脚本、iframe 与媒体文件。

从今年 12 月开始测试的?Chrome 79 开始,Chrome 将会逐步阻止所有混合内容。到 2020 年 1 月,Chrome 80 会将所有混合音频和视频资源自动升级为 HTTPS,如果无法通过 HTTPS 加载,则将自动被阻止。最终,在 2020 年 2 月,Chrome 81 将所有混合图像、音频与视频自动升级为 HTTPS,并且阻止那些无法通过 HTTPS 加载的图像。

同时,Chrome 79 中还将添加一个新设置项,用户可以用来取消阻止特定站点上的混合内容。

这样的过渡使开发人员有时间将其混合内容迁移到 HTTPS 上。

类似的措施,此前我们报导过,谷歌 Chrome 工程师 Emily Stark 已经在?W3C 邮件列表上提出,计划在 HTTPS 网站上默认禁止一些通过 HTTP 下载的行为,当涉及到下载 EXE、DMG(Mac 应用二进制文件)、CRX(Chrome 扩展包) 与诸如 ZIP、GZIP、BZIP、TAR、RAR 和?7Z 等主流压缩/打包文件时,浏览器将阻止下载。默认阻止下载的这些文件类型被认为是“高风险”的,因为它们最有可能被滥用来隐藏恶意程序。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创365bet手机版中文社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Chrome 将不再允许 https:// 页面加载 HTTP 资源
加载中

精彩评论

lidanger
lidanger
从这种行为就能看出 go 风格设计的根源。。看了 google 想替用户管理整个世界。。
egmkang
egmkang
Google连你看的新闻都会帮你筛选
大盘
大盘
阿里云就可以免费一年的HTTPS证书啊
一位极其不愿意透漏姓名的马先生
一位极其不愿意透漏姓名的马先生
参与go365bet手机版中文的项目就知道啦,风格都很统一,很好
北极心
北极心
这的亏有免费的证书了,要不然真蛋疼

最新评论(24

小云白
小云白
意思 静态资源文件必须使用 https ?
c
cia1209
求教下新旧域名要怎么同时上https。虽然知道有泛证书,但太贵了不合适
snamper
snamper
有免费的,3个月一年,写个脚本自动检测续
c
cia1209
好的,谢谢
egmkang
egmkang
Google连你看的新闻都会帮你筛选
没有头像也是一种帅
没有头像也是一种帅
别的还好,localhost,192.168各种问题,各种麻烦! 你能不能先判断下是不是本地的。。。
dingdayu
dingdayu
应该会有开发模式的,而且这种功能都有高级选项设置。
北极心
北极心
这的亏有免费的证书了,要不然真蛋疼
365bet手机版中文中国首席罗纳尔多
365bet手机版中文中国首席罗纳尔多
您好,请问个人站长怎么搞免费分https?
大盘
大盘
阿里云就可以免费一年的HTTPS证书啊
苦寒竹
苦寒竹
LetsEncrypt.org有免费的。你也可以上GoGetSSL.com 付费购买收费的证书,也不是很贵。另外,各种云平台基本有提供免费证书。
yywww
yywww
acme.sh 不客气
cIouddyy
cIouddyy
不行就自己代理到自己的服务器上呗
亡灵序曲
亡灵序曲
这群人一天到晚屁眼痛?
高久峰是个大胖子
麻烦的一批。。。
lidanger
lidanger
从这种行为就能看出 go 风格设计的根源。。看了 google 想替用户管理整个世界。。
写代码的王师傅
挺好啊,统一格式省得各种奇葩格式麻烦,真觉得不好不用就是了
x
xshrim
golang跟你有杀父之仇?
lidanger
lidanger
?? 我只是评价 google 的行为而已,跟 go 有多大关系?只是个人不喜欢而已,还不允许我说话了。难不成不喜欢 go 就是大逆不道了?
一位极其不愿意透漏姓名的马先生
一位极其不愿意透漏姓名的马先生
参与go365bet手机版中文的项目就知道啦,风格都很统一,很好
返回顶部
顶部