更新(2020年4月6日):混合图像自动升级(Mixed image autoupgrading)原定于Chrome 81,但将至少推迟到Chrome 84。请查看Chrome平台状态条目,以获取有关混合图像在通过https://加载失败时何时自动升级和阻止的最新信息。具有混合图像(Mixed image)的网站将继续触发“不安全”警告。
今天,我们宣布Chrome将逐步开始确保https://页面只能加载安全的https://子资源。在下面列出的一系列步骤中,我们将在默认情况下开始阻止混合内容(mix content)(https://pages上的不安全的http://子资源)加载。这一变化将改善用户在网络上的隐私和安全,并为用户提供更清晰的浏览器安全用户体验。
在过去的几年里,网络在向HTTPS过渡方面取得了巨大进展:Chrome用户现在90%以上的浏览时间都花在了所有主要平台上的HTTPS上。我们现在将注意力转向确保网络上的HTTPS配置是安全和最新的。
HTTPS页面通常会遇到一个称为混合内容的问题,即页面上的子资源通过http://不安全地加载。默认情况下,浏览器会屏蔽许多类型的混合内容,如script脚本和iframe,但仍然允许加载图像、音频和视频,这威胁到用户的隐私和安全。例如,攻击者可以篡改股票图表的混合图像以误导投资者,或者在混合资源负载中注入跟踪cookie。加载混合内容也会导致浏览器安全用户体验混乱,页面既不安全也不安全,而是介于两者之间。
从Chrome 79开始的一系列步骤中,Chrome将逐步默认屏蔽所有混合内容。为了最大限度地减少破坏,我们将自动将混合资源升级到https://,这样,如果网站的子资源已经通过https://可用,则网站将继续工作。用户将能够启用一个设置来选择退出特定网站上的混合内容屏蔽,下面我们将描述开发人员可用于帮助他们查找和修复混合内容的资源。
日程表
我们将通过一系列步骤推出这一更改,而不是一次屏蔽所有混合内容。
在2019年12月发布到稳定频道的Chrome 79中,我们将引入一个新的设置来解锁特定网站上的混合内容。此设置将应用于Chrome当前默认阻止的混合脚本、iframe和其他类型的内容。用户可以通过单击任何https://页面上的锁定图标并单击站点设置来切换此设置。这将取代出现在综合框右侧的屏蔽图标,用于解锁以前版本的桌面Chrome中的混合内容。
在Chrome 80中,混合音频和视频资源将自动升级到https://,如果无法通过https://加载,Chrome将默认阻止它们。Chrome 80将于2020年1月在早期发布渠道发布。用户可以使用上述设置取消阻止受影响的音频和视频资源。
同样在Chrome 80中,混合图像仍然可以加载,但它们会导致Chrome在综合框中显示“不安全”图标。我们预计这将为用户提供更清晰的安全UI,并将促使网站将其图像迁移到HTTPS。开发人员可以使用升级不安全的请求 或者 阻止所有混合内容的内容来避免此警告。
在Chrome 81中,混合图像将自动升级到https://,如果无法通过https://加载,Chrome将默认阻止它们。Chrome 81将于2020年2月在早期发布渠道发布。
开发者资源
开发人员应立即将混合内容迁移到https://,以避免出现警告和破坏。以下是一些资源:
使用内容安全策略Content Security Policy和Lighthouse的混合内容审核来发现和修复网站上的混合内容。
有关将服务器迁移到HTTPS的一般建议,请参阅本指南。
请查看您的CDN、web主机或内容管理系统,看看他们是否有用于调试混合内容的专用工具。例如,Cloudflare提供了一个将混合内容重写为https://的工具,并且还提供了WordPress插件。
由Emily Stark和Carlos Joan Rafael Ibarra Lopez发布,Chrome安全团队
