谷歌Chrome已经在网络上屏蔽了某些类型的“混合内容”。现在，谷歌宣布它变得更加严肃：从2020年初开始，Chrome将默认屏蔽所有混合内容，破坏一些现有网页。这就是它的含义。

什么是混合含量(mixed content)？

这里有两种类型的内容：通过安全、加密的HTTPS连接传递的内容和通过未加密的HTTP连接传递的内容。当您使用HTTPS时，内容不能在传输过程中被窥探或篡改，这就是为什么它的关键网站在处理金融信息或私人数据时提供加密。

网络正在转向安全的HTTPS网站。如果你连接到一个没有加密的旧HTTP网站，Google Chrome现在警告你这些网站“不安全”。Google现在甚至在默认情况下隐藏了“https://”指示符，因为默认情况下网站应该是安全的。新的HTTP/3标准将内置加密。

但有些网页既不能完全是HTTPS，也不能完全是HTTP。有些网页是通过安全的HTTPS连接交付的，但它们通过未加密的HTTP连接拉入图像、脚本或其他资源。这样的网页有“混合内容”，因为它们不是完全安全的。网页本身不能被篡改，但它可能会拉入可能被篡改的脚本、图像或iframe（另一个网页上“框架”内的网页）。

为什么混合内容不好

混合内容令人困惑。你在浏览一个既安全又不安全的网页。例如，通常安全的web页面可以通过HTTP拉入JavaScript文件。例如，如果你在一个公共Wi-Fi网络上，不值得信任地在网页上做许多讨厌的事情，从监视你的击键到**跟踪cookie，那么这个脚本可以被修改。

虽然脚本和iframe——“活动内容”是最危险的，但即使是图像、视频和音频混合内容也可能有风险。例如，假设您正在查看一个安全的股票交易网站，该网站通过HTTP获取股票历史的图像。该图像不安全，可能在传输过程中被篡改以显示不正确的细节。而且，因为它是通过未加密的连接传递的，所以在传输过程中窥探数据的任何人都可能知道您正在查看什么股票。

像这样混合内容是个坏主意。如果一个网页正在使用HTTPS，那么它的所有资源也应该通过HTTPS拉入。这只是一个历史性的意外，web从HTTP开始，网站逐渐升级到HTTPS。正如他们所做的那样，他们并不总是更新到在任何地方都使用HTTPS资源。或者，他们可能依赖于当时不支持HTTPS的第三方资源。

现在，随着谷歌和其他浏览器供应商使混合内容变得更加困难和令人沮丧，网站将不得不清理这些内容，以便它们的网页在默认情况下继续工作。

铬到底在改变什么？

Chrome目前阻止混合脚本和iframe。Chrome 80将于2020年1月发布到早期发布频道，Chrome将从技术上屏蔽混合的音频和视频资源，它将尝试通过安全的HTTPS连接加载这些资源，如果不这样做，它将屏蔽这些资源。混合图像将加载，但Chrome会说网页“不安全”。在Chrome 81中，Chrome将停止加载混合图像。用户可以允许加载混合内容，但默认情况下不允许。

这都是让网络更安全的一部分。谷歌的博客文章说，它预计“不安全”的信息“将激励网站将其图像迁移到HTTPS。”

chrome将如何让您解除对混合内容的阻止

Chrome已经用地址栏中的一个屏蔽图标和一条“阻止不安全内容”的消息来阻止某些类型的混合内容。您可以在这个由Google创建的混合内容示例页面上看到它是如何工作的。例如，要取消阻止混合内容脚本，必须单击名为“加载不安全脚本”的链接

如果您同意运行混合内容，则网页将从安全更改为不安全。

谷歌将在Chrome79中对此进行简化，Chrome79将于2019年12月发布。您必须单击页面地址左侧的锁定图标，单击“站点设置”，然后取消阻止该站点的混合内容。

这个选项变得更加隐蔽，但关键是：大多数人不需要为站点启用混合内容。网站开发者需要修复他们的网站以安全地交付资源。此选项将确保使用旧业务站点的任何人都可以继续访问它，即使对所有人禁用混合内容。

如果你需要这样一个网站，不用担心：谷歌还没有宣布取消Chrome中加载混合内容选项的日期。默认情况下，谷歌的网络浏览器将屏蔽所有混合内容，但在可预见的未来，它将继续提供启用混合内容的选项。

其他浏览器呢？

Chrome并不孤单。Firefox也会阻止脚本和iframe等混合内容，并要求您单击“暂时禁用保护”设置以重新启用它。我们希望Mozilla能步谷歌后尘。苹果的Safari也在积极阻止混合内容。

当然，微软新的Edge浏览器将基于构成googlechrome基础的Chrome代码，其行为将类似Chrome。

相关报道：谷歌Chrome为什么说网站“不安全”？