网站内容自动更新(解决Web浏览器中出现的HTTPS混合内容错误的方法(图))
优采云 发布时间: 2021-10-17 18:21网站内容自动更新(解决Web浏览器中出现的HTTPS混合内容错误的方法(图))
Google 工程师正在寻找解决 HTTPS 混合内容错误的方法,现在他们似乎有了正确的想法……
Chrome 团队将在本周进行一项实验,试图找到 Mozilla 去年也试图解决的 HTTPS 问题的解决方案。这个问题被称为“混合内容”,谷歌将其描述如下:
当初始 HTML(网页)通过安全的 HTTPS 连接加载,但其他资源(如图像、视频、样式表、脚本)通过不安全的 HTTP 连接加载时,将出现混合内容。之所以称为混合内容,是因为 HTTP 和 HTTPS 内容都加载并显示在同一页面上,并且初始请求在 HTTPS 上是安全的。现代浏览器将显示有关此类内容的警告,以向用户表明当前页面收录不安全的资源。
在过去几年中,混合内容一直是浏览器制造商和其他推动采用 HTTPS 的组织的主要问题。混合内容浏览器中的错误通常被认为会阻止用户访问 网站。这也让很多网站运营商不敢迁移到HTTPS。他们担心会因为支持HTTPS而失去流量收入的实实在在的收益。这样,解决网页浏览器中的混合内容错误很可能是说服网站运营商改用HTTPS的最终主要障碍。
本周,谷歌工程师在 Chrome 上启动了一项实验,可以将浏览器配置为自动将任何混合内容升级到完整的 HTTPS。Chrome 可以通过将资源(例如图像、视频、样式表、脚本)的 URL 从 HTTP 版本秘密更改为 HTTPS 的替代版本来实现此目的。如果 HTTPS 链接上存在相同的资源,则所有内容都会正常加载。如果备用 HTTPS 链接上不存在该资源,Chrome 将记录错误并执行为此实验配置的多个方案之一(请参阅详细信息)。
正常情况下,网站所有者更新网站使用HTTPS时,可能会忘记修改部分网站源码,导致部分内容留给HTTP加载,可能也可以通过 HTTPS 加载。
这个实验的目的是让谷歌工程师看到如果Chrome默认自动将所有混合内容网站更新为HTTPS会发生多少网站崩溃,以及破坏混合内容HTTP URL的最佳回退策略是什么。如果链接和网站被破坏的比例很小,谷歌工程师很可能会考虑在Chrome浏览器中启动这个HTTPS自动更新功能,这是向更安全的网络迈出的又一步。
目前,谷歌打算在大约 1% 的 Chrome Canary 用户群(启用了 chrome://flags/#enable-origin-trials 标志的用户)中启动这个实验。
据了解,谷歌的实验不会是第一次。去年,Mozilla 在 Firefox 中使用了类似的混合内容自动更新并进行了测试。谷歌安全工程师艾米丽·斯塔克说:“他们发现了很多破损,我们希望这个实验能够改进。” 此外,还计划进行其他混合内容处理实验。