Chrome安全小組近日在一篇博客文章中表示，計(jì)劃使https://頁(yè)面不再加載HTTP子資源。

根據(jù)Google的說(shuō)法，Chrome用戶現(xiàn)在在所有主要平臺(tái)上的HTTPS?上花費(fèi)了90%以上的瀏覽時(shí)間。但是，那些安全頁(yè)面加載不安全的HTTP子資源卻是很常見(jiàn)的。這些子資源中的許多默認(rèn)情況下都是被阻止的，但有些會(huì)作為圖像、音頻和視頻或“混合內(nèi)容”潛入，混合內(nèi)容可能會(huì)使用戶面臨風(fēng)險(xiǎn)，比如腳本、iframe與媒體文件。

從今年12月開(kāi)始測(cè)試的?Chrome 79開(kāi)始，Chrome將會(huì)逐步阻止所有混合內(nèi)容。到2020年1月，Chrome 80會(huì)將所有混合音頻和視頻資源自動(dòng)升級(jí)為HTTPS，如果無(wú)法通過(guò)HTTPS加載，則將自動(dòng)被阻止。最終，在2020年2月，Chrome 81將所有混合圖像、音頻與視頻自動(dòng)升級(jí)為HTTPS，并且阻止那些無(wú)法通過(guò)HTTPS加載的圖像。

同時(shí)，Chrome 79中還將添加一個(gè)新設(shè)置項(xiàng)，用戶可以用來(lái)取消阻止特定站點(diǎn)上的混合內(nèi)容。

這樣的過(guò)渡使開(kāi)發(fā)人員有時(shí)間將其混合內(nèi)容遷移到HTTPS上。

類(lèi)似的措施，此前我們報(bào)導(dǎo)過(guò)，谷歌Chrome工程師Emily Stark已經(jīng)在?W3C郵件列表上提出，計(jì)劃在HTTPS網(wǎng)站上默認(rèn)禁止一些通過(guò)HTTP下載的行為，當(dāng)涉及到下載EXE、DMG、CRX（Chrome擴(kuò)展包）與諸如ZIP、GZIP、BZIP、TAR、RAR和?7Z等主流壓縮/打包文件時(shí)，瀏覽器將阻止下載。默認(rèn)阻止下載的這些文件類(lèi)型被認(rèn)為是“高風(fēng)險(xiǎn)”的，因?yàn)樗鼈冏钣锌赡鼙粸E用來(lái)隱藏惡意程序。