Chrome 安全小組近日在一篇博客文章中表示,計劃使 https:// 頁面不再載入 HTTP 子資源。
根據 Google 的說法,Chrome 用戶現在在所有主要平台上的 HTTPS 上花費了 90% 以上的瀏覽時間。但是,那些安全頁面載入不安全的 HTTP 子資源卻是很常見的。這些子資源中的許多默認情況下都是被阻止的,但有些會作為圖像、音頻和視頻或「混合內容」潛入,混合內容可能會使用戶面臨風險,比如腳本、iframe 與媒體文件。
從今年 12 月開始測試的 Chrome 79 開始,Chrome 將會逐步阻止所有混合內容。到 2020 年 1 月,Chrome 80 會將所有混合音頻和視頻資源自動升級為 HTTPS,如果無法通過 HTTPS 載入,則將自動被阻止。最終,在 2020 年 2 月,Chrome 81 將所有混合圖像、音頻與視頻自動升級為 HTTPS,並且阻止那些無法通過 HTTPS 載入的圖像。
同時,Chrome 79 中還將添加一個新設置項,用戶可以用來取消阻止特定站點上的混合內容。
這樣的過渡使開發人員有時間將其混合內容遷移到 HTTPS 上。
類似的措施,此前我們報導過,谷歌 Chrome 工程師 Emily Stark 已經在 W3C 郵件列表上提出,計劃在 HTTPS 網站上默認禁止一些通過 HTTP 下載的行為,當涉及到下載 EXE、DMG(Mac 應用二進位文件)、CRX(Chrome 擴展包) 與諸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z 等主流壓縮/打包文件時,瀏覽器將阻止下載。默認阻止下載的這些文件類型被認為是「高風險」的,因為它們最有可能被濫用來隱藏惡意程序。
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/110345/chrome-to-block-http-in-https
Chrome 將不再允許 https:// 頁面載入 HTTP 資源已經有277次圍觀
