Google 大王又頒佈命令了「No More Mixed Messages About HTTPS」,Google Chrome 長期對於 HTTPS 的網站一直有進行管制,從 HSTS、“HTTP as not secure” 等動作,這次是針對 HTTPS / HTTP 混合內容的網站進行管制。
現在只要網站是 HTTPS 都會顯示「綠色鎖頭」表示連線安全 (加密連線),但是實際上有可能掛羊頭賣狗肉,只在主要內容進行 HTTPS 加密,但是內文藏有 HTTP 未加密的連線,我相信許多網站都還沒有完全改完,這也是對於使用者的一種不安全。
然後聖旨的內容是準備從 Google Chrome 79 版本開始有一連串的管制措施 (default setting)
Chrome 79 加入「網站阻擋設定」(Release 2019-12)
這個跟 Windows IE 的「信任網站」設定很像,但主要是針對未安全加密網站的限制設定。
Chrome 80 開始管制 <audio>、<video>、<img> (Release 2020-01)
- 管制 <audio> 和 <video> 並直接升級成 HTTPS 連線,HTTP 直接無法讀取
- 仍然可以加載 HTTP 的 <img> 但是會顯示「Not Secure」
- 可以透過 Upgrade-Insecure-Requests Heaer 讓瀏覽器嘗試存取 HTTPS 避免 Chrome 阻擋 (後端可以省去實作 HTTP 轉 HTTPS 的工)
- 可以透過 block-all-mixed-content 讓瀏覽器不加載 HTTP (一般是網站內容常常鑲嵌其他網站時可以防堵有心人士)
Chrome 81 不允許不安全的 <img> (Release 2020-02)
Chrome 81 直接把沒有 HTTPS 的 <img> 判斷成無法連線。