今年十月，Google即將發佈Chrome瀏覽器86新版本的正式更新，這意味著Chrome將阻止所有類型非HTTPS的混合內容下載。

為進一步加固瀏覽器的安全防線，全球份額已達71%的瀏覽器霸主Chrome可謂“操碎了心”，早在今年2月份，Google宣佈：為了增強用戶下載防護體驗，Chrome瀏覽器將逐步阻止非“安全超文本傳輸協議”的混合內容下載，確保HTTPS安全頁面僅下載安全文件。

為什麼阻止HTTPS頁面的HTTP資源下載

HTTPS混合內容錯誤一直是網站推進HTTPS加密的一大阻礙。HTTPS混合內容錯誤是指，初始網頁通過安全的HTTPS鏈接加載，但頁面中其他資源（如：圖像、視頻、樣式表、腳本）卻通過不安全的HTTP鏈接加載，這樣就會出現混合內容錯誤（也就是不安全因素）。據谷歌報道，Chrome用戶在所有主要平臺上超過90%的瀏覽時間都使用HTTPS，但是這些安全頁面通常會加載不安全的HTTP子資源。

初期，Chrome屏蔽始於安全頁面的不安全下載。這種情況尤其讓人擔憂，因為Chrome當前無法向用戶表明其隱私和安全受到威脅。不安全的文件下載會威脅到用戶的安全和隱私。例如，攻擊者可以將通過HTTP下載的程序替換為惡意程序，竊聽者可以讀取用戶通過HTTP下載的銀行對賬單等。為了解決這些風險，谷歌計劃最終在Chrome中禁止加載不安全資源。作為去年宣佈的一項計劃的延續，Chrome將阻止“安全頁面”上的所有“非安全子資源”的接觸。

​

Chrome阻止混合內容的六階段計劃表

從2020年4月的Chrome 82開始，Chrome瀏覽器便採取行動向用戶發出警告、進一步確保安全性，直至最終阻止“混合內容的下載” （安全頁面上的非HTTPS下載）支持。其中對用戶構成最大風險的文件類型（可執行文件）首先受到影響，後續版本將覆蓋更多的文件類型。

谷歌計劃首先在 Windows、macOS、ChromeOS 和 Linux 桌面平臺上推出對混合內容下載的限制。Chrome 團隊將這一過程分為六個步驟，分別是：

☞ Chrome 81（2020年 3 月）：瀏覽器會蹦出一條控制檯消息，警告所有混合內容的下載；

☞ Chrome 82（2020年 4 月）：瀏覽器將警告（.exe 等可執行文件）的混合內容下載；

☞ Chrome 83（2020年 6 月）：警告 .zip 檔案和 .iso 磁盤映像混合內容的下載；

☞ Chrome 84（2020年 8 月）：警告除圖片、音視頻、文本之外的混合內容的下載；

☞ Chrome 85（2020 年9 月）：警告圖像、音視頻和文本類混合內容的下載；

☞ Chrome 86（2020 年10 月）：阻止所有類型混合內容的下載。

逐步推出的目的，旨在快速緩解嚴重的安全風險，鑑於移動平臺具有更好的抵禦惡意文件的本機防護功能，為開發人員提供更新其網站的緩衝時間，避免因不安全網站影響Chrome用戶的使用體驗。

您的網站內容混合嗎？

您的網站內容混合嗎？相信多數網站管理者不清楚其網站有哪些混合內容，而Chrome 86版本的重大更新幫助用戶瞭解所有HTTP網站都是不安全的，迫使網站管理員將其站點升級到更安全的HTTPS協議，保護用戶的隱私和數據安全。

應對策略

① 檢查您的網站上的混合內容/不安全鏈接，排查網站內的加載文件，確保所有文件都僅通過HTTPS下載，可藉助證書檢測工具解決HTTPS的不安全（外鏈）問題，對網站實時監控並獲取專業評估報告，以便檢測自己部署的HTTPS網站是否真正的安全。

② 建議網站進行全站HTTPS加密，保護隱私數據，防止竊聽和洩露。

③ 擔心全站HTTPS會消耗較多的雲端服務器 CPU資源，增加延時？建議制定全站HTTPS加速的性能優化解決方案。