Chrome 将不再允许 https:// 页面加载 HTTP 资源

Java面试那些事儿 2019-12-19

点击蓝色“Java面试那些事儿”关注我哟

加个“星标”，优质文章，第一时间送达

来源：http://1t.click/a7Fx

Chrome 安全小组近日在一篇博客文章中表示，计划使 https:// 页面不再加载 HTTP 子资源。

根据 Google 的说法，Chrome 用户现在在所有主要平台上的 HTTPS 上花费了 90％以上的浏览时间。但是，那些安全页面加载不安全的 HTTP 子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的，但有些会作为图像、音频和视频或“混合内容”潜入，混合内容可能会使用户面临风险，比如脚本、iframe 与媒体文件。

从今年 12 月开始测试的 Chrome 79 开始，Chrome 将会逐步阻止所有混合内容。到 2020 年 1 月，Chrome 80 会将所有混合音频和视频资源自动升级为 HTTPS，如果无法通过 HTTPS 加载，则将自动被阻止。最终，在 2020 年 2 月，Chrome 81 将所有混合图像、音频与视频自动升级为 HTTPS，并且阻止那些无法通过 HTTPS 加载的图像。

同时，Chrome 79 中还将添加一个新设置项，用户可以用来取消阻止特定站点上的混合内容。

这样的过渡使开发人员有时间将其混合内容迁移到 HTTPS 上。

类似的措施，此前我们报导过，谷歌 Chrome 工程师 Emily Stark 已经在 W3C 邮件列表上提出，计划在 HTTPS 网站上默认禁止一些通过 HTTP 下载的行为，当涉及到下载 EXE、DMG（Mac 应用二进制文件）、CRX（Chrome 扩展包）与诸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z 等主流压缩/打包文件时，浏览器将阻止下载。默认阻止下载的这些文件类型被认为是“高风险”的，因为它们最有可能被滥用来隐藏恶意程序。

热文推荐

它，竟然被我司当做分布式锁用了6年...

离职10天，面了4家公司，我的感受...

避坑，程序员该如何接私活？

同时，分享一份Java面试资料给大家，覆盖了算法题目、常见面试题、JVM、锁、高并发、反射、Spring原理、微服务、Zookeeper、数据库、数据结构等等

获取方式：点在看，关注公众号并回复面试领取。

“占坑式辩护”，侵犯了谁？

bxrf的瓜

嗷嗷哭！三斤午夜痛哭，压力太大了！阿哲遭恶意举报，爆瓜内幕！

童锦程爆阿哲抖音年度！哦嫂猫猫抖音复出开播！北王示爱囧囧丸！

陈泽心疼阿哲，回应大舞台节奏！哲修辰杭州聚会！宇文泡1600万叫价青蛙哥！