行业新闻与博客

更新（04/06/2020）：最初计划在 Chrome 81 上进行混合图像自动升级，但至少要延迟到 Chrome 84 才能进行。查看 Chrome 平台状态条目，以获取有关何时自动升级和阻止混合图像的最新信息无法通过 https：// 加载。具有混合图像的网站将继续触发“不安全”警告。

今天，我们宣布 Chrome 将逐步开始确保 https：// 页面只能加载安全的 https：// 子资源。在下面概述的一系列步骤中，默认情况下，我们将开始阻止混合内容（https：// 页面上不安全的 http：// 子资源）。此项更改将改善用户在 Web 上的隐私和安全性，并为用户提供更清晰的浏览器安全 UX。

在过去的几年中，网络在过渡到 HTTPS 方面取得了长足的进步：Chrome 用户现在将其 90％以上的浏览时间都花在所有主要平台上的 HTTPS 上。现在，我们将注意力转移到确保 Web 上的 HTTPS 配置是安全的和最新的。

HTTPS 页面通常会遇到一个称为混合内容的问题，该页面上的子资源会通过 http：// 不安全地加载。浏览器默认情况下会阻止多种类型的混合内容，例如脚本和 iframe，但是仍然允许加载图像，音频和视频，这威胁到用户的隐私和安全性。例如，攻击者可能篡改股票图表的混合图像以误导投资者，或将跟踪 cookie 注入混合资源负载中。加载混合内容还会导致浏览器安全性 UX 混乱，该页面显示为既不安全也不不安全，而是介于两者之间。

从 Chrome 79 开始，将采取一系列步骤，默认情况下，Chrome 将逐渐移至阻止所有混合内容。 为了最大程度地减少损坏，我们将自动将混合资源升级到 https：//，因此，如果其子资源已经通过 https：// 提供，那么站点将继续工作。用户将能够启用一项设置，以选择退出特定网站上的混合内容阻止，并且在下面，我们将介绍开发人员可以用来帮助他们查找和修复混合内容的资源。

时间轴

我们将通过一系列步骤来推出此更改，而不是立即阻止所有混合内容。

• 在 2019年12月发布到稳定频道的Chrome 79中，我们将引入新的设置来取消阻止特定网站上的混合内容。此设置将应用于混合脚本，iframe 和 Chrome 当前默认阻止的其他类型的内容。用户可以通过单击任意 https：// 页面上的锁定图标并单击“站点设置”来切换此设置。这将替换显示在多功能框右侧的屏蔽图标，以取消阻止以前版本的台式机 Chrome 浏览器中的混合内容。

访问网站设置，用户可以从中取消阻止 Chrome 79 中混合内容的加载。

• 在Chrome 80 中，混合的音频和视频资源将自动升级为 https：//，并且默认情况下，如果它们无法通过 https：// 加载，Chrome 将阻止它们。Chrome 80 将于 2020年1月发布到早期版本的渠道。用户可以使用上述设置取消屏蔽受影响的音频和视频资源。
• 同样在Chrome 80 中，仍然可以加载混合图像，但是它们会使 Chrome 在多功能框中显示“ Not Secure”芯片。我们期望这对于用户而言是一个更清晰的安全性 UI，它将激励网站将其图像迁移到 HTTPS。开发人员可以使用 upgrade-insecure-requests 或 block-all-mixed-content 内容安全策略指令来避免此警告。 

在 Chrome 80 中加载混合图像的网站的多功能框处理。 

• 在Chrome 81 中，混合图像会自动升级到 https：//，如果无法通过 https：// 加载，Chrome 会默认将其阻止。Chrome 81 将于 2020年2月发布到早期发布渠道。

开发

人员资源开发人员应立即将其混合内容迁移到 https：//，以避免出现警告和损坏。以下是一些资源：

• 使用内容安全政策和 Lighthouse 的混合内容审核来发现并修复您网站上的混合内容。
• 有关将服务器迁移到 HTTPS 的一般建议，请参阅本指南。
• 请与您的 CDN，Web 主机或内容管理系统联系，以查看它们是否具有调试混合内容的特殊工具。例如，CloudFlare 的提供了一个工具来重写混合内容到 https：//，和 WordPress 插件也是可用的。