谷歌浏览器将不再允许HTTPS页面加载HTTP资源

浏览: 30次 | 发布时间:2019-10-06 11:44:19

https网站

近日,谷歌安全小组在一篇博客中表示,使用https的网站页面将不会加载http子页面资源,在前几年谷歌浏览器放弃了http网站支持,在谷歌浏览器输入http网站默认将显示为“不安全”提示,加上谷歌这一举动,谷歌浏览器将完全阻止不是全https的混合型网站。

有什么影响?

根据Google的说法,Chrome用户现在在所有主要平台上的HTTPS 上花费了90%以上的浏览时间。但是,那些安全页面加载不安全的HTTP子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的,但有些会作为图像、音频和视频或“混合内容”潜入,混合内容可能会使用户面临风险,比如脚本、iframe与媒体文件。

从今年12月开始测试的 Chrome 79开始,Chrome将会逐步阻止所有混合内容。到2020年1月,Chrome 80会将所有混合音频和视频资源自动升级为HTTPS,如果无法通过HTTPS加载,则将自动被阻止。最终,在2020年2月,Chrome 81将所有混合图像、音频与视频自动升级为HTTPS,并且阻止那些无法通过HTTPS加载的图像。

类似的措施,此前我们报导过,谷歌Chrome工程师Emily Stark已经在?W3C邮件列表上提出,计划在HTTPS网站上默认禁止一些通过HTTP下载的行为,当涉及到下载EXE、DMG、CRX(Chrome扩展包)与诸如ZIP、GZIP、BZIP、TAR、RAR和?7Z等主流压缩/打包文件时,浏览器将阻止下载。默认阻止下载的这些文件类型被认为是“高风险”的,因为它们最有可能被滥用来隐藏恶意程序。

总结

https网站能够有效的提示网站安全性,提高网站抵御攻击的能力,未来https将是趋势,需要我们尽快升级。

您的业务还没开展?马上 立即创建网站 成为渠道伙伴