Google 大王又頒佈命令了「No More Mixed Messages About HTTPS」，Google Chrome 長期對於 HTTPS 的網站一直有進行管制，從 HSTS、“HTTP as not secure” 等動作，這次是針對 HTTPS / HTTP 混合內容的網站進行管制。

現在只要網站是 HTTPS 都會顯示「綠色鎖頭」表示連線安全 (加密連線)，但是實際上有可能掛羊頭賣狗肉，只在主要內容進行 HTTPS 加密，但是內文藏有 HTTP 未加密的連線，我相信許多網站都還沒有完全改完，這也是對於使用者的一種不安全。

然後聖旨的內容是準備從 Google Chrome 79 版本開始有一連串的管制措施 (default setting)

Chrome 79 加入「網站阻擋設定」(Release 2019-12)

這個跟 Windows IE 的「信任網站」設定很像，但主要是針對未安全加密網站的限制設定。

Chrome 80 開始管制 <audio>、<video>、<img> (Release 2020-01)

• 管制 <audio> 和 <video> 並直接升級成 HTTPS 連線，HTTP 直接無法讀取
• 仍然可以加載 HTTP 的 <img> 但是會顯示「Not Secure」
• 可以透過 Upgrade-Insecure-Requests Heaer 讓瀏覽器嘗試存取 HTTPS 避免 Chrome 阻擋 (後端可以省去實作 HTTP 轉 HTTPS 的工)
• 可以透過 block-all-mixed-content 讓瀏覽器不加載 HTTP (一般是網站內容常常鑲嵌其他網站時可以防堵有心人士)

Chrome 81 不允許不安全的 <img> (Release 2020-02)

Chrome 81 直接把沒有 HTTPS 的 <img> 判斷成無法連線。

audio block-all-mixed-content Chrome google HSTS https img secure Upgrade-Insecure-Requests video