Chrome 79 ~ 81 將對 HTTPS 內有 HTTP 的網站進行管制措施

2019-10-05 Chrome

Google 大王又頒佈命令了「No More Mixed Messages About HTTPS」,Google Chrome 長期對於 HTTPS 的網站一直有進行管制,從 HSTS“HTTP as not secure” 等動作,這次是針對 HTTPS / HTTP 混合內容的網站進行管制。

現在只要網站是 HTTPS 都會顯示「綠色鎖頭」表示連線安全 (加密連線),但是實際上有可能掛羊頭賣狗肉,只在主要內容進行 HTTPS 加密,但是內文藏有 HTTP 未加密的連線,我相信許多網站都還沒有完全改完,這也是對於使用者的一種不安全。

然後聖旨的內容是準備從 Google Chrome 79 版本開始有一連串的管制措施 (default setting)

Chrome 79 加入「網站阻擋設定」(Release 2019-12)

這個跟 Windows IE 的「信任網站」設定很像,但主要是針對未安全加密網站的限制設定。

Chrome 80 開始管制 <audio>、<video>、<img> (Release 2020-01)

  • 管制 <audio><video> 並直接升級成 HTTPS 連線,HTTP 直接無法讀取
  • 仍然可以加載 HTTP 的 <img> 但是會顯示「Not Secure」
  • 可以透過 Upgrade-Insecure-Requests Heaer 讓瀏覽器嘗試存取 HTTPS 避免 Chrome 阻擋 (後端可以省去實作 HTTP 轉 HTTPS 的工)
  • 可以透過 block-all-mixed-content 讓瀏覽器不加載 HTTP (一般是網站內容常常鑲嵌其他網站時可以防堵有心人士)

Chrome 81 不允許不安全的 <img> (Release 2020-02)

Chrome 81 直接把沒有 HTTPS 的 <img> 判斷成無法連線。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

彙整

分類

展開全部 | 收合全部

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱

%d 位部落客按了讚: