什麼是“混合內容”，為什麼chrome會阻止它？

谷歌Chrome已經在網路上遮蔽了某些型別的“混合內容”。現在，谷歌宣佈它變得更加嚴肅：從2020年初開始，Chrome將預設遮蔽所有混合內容，破壞一些現有網頁。這就是它的含義。...

谷歌Chrome已經在網路上遮蔽了某些型別的“混合內容”。現在，谷歌宣佈它變得更加嚴肅：從2020年初開始，Chrome將預設遮蔽所有混合內容，破壞一些現有網頁。這就是它的含義。

什麼是混合含量(mixed content)？

這裡有兩種型別的內容：透過安全、加密的HTTPS連線傳遞的內容和透過未加密的HTTP連線傳遞的內容。當您使用HTTPS時，內容不能在傳輸過程中被窺探或篡改，這就是為什麼它的關鍵網站在處理金融資訊或私人資料時提供加密。

網路正在轉向安全的HTTPS網站。如果你連線到一個沒有加密的舊HTTP網站，Google Chrome現在警告你這些網站“不安全”。Google現在甚至在預設情況下隱藏了“https://”指示符，因為預設情況下網站應該是安全的。新的HTTP/3標準將內建加密。

但有些網頁既不能完全是HTTPS，也不能完全是HTTP。有些網頁是透過安全的HTTPS連線交付的，但它們透過未加密的HTTP連線拉入影象、指令碼或其他資源。這樣的網頁有“混合內容”，因為它們不是完全安全的。網頁本身不能被篡改，但它可能會拉入可能被篡改的指令碼、影象或iframe（另一個網頁上“框架”內的網頁）。

為什麼混合內容不好

混合內容令人困惑。你在瀏覽一個既安全又不安全的網頁。例如，通常安全的web頁面可以透過HTTP拉入JavaScript檔案。例如，如果你在一個公共Wi-Fi網路上，不值得信任地在網頁上做許多討厭的事情，從監視你的擊鍵到**跟蹤cookie，那麼這個指令碼可以被修改。

雖然指令碼和iframe——“活動內容”是最危險的，但即使是影象、影片和音訊混合內容也可能有風險。例如，假設您正在檢視一個安全的股票交易網站，該網站透過HTTP獲取股票歷史的影象。該影象不安全，可能在傳輸過程中被篡改以顯示不正確的細節。而且，因為它是透過未加密的連線傳遞的，所以在傳輸過程中窺探資料的任何人都可能知道您正在檢視什麼股票。

像這樣混合內容是個壞主意。如果一個網頁正在使用HTTPS，那麼它的所有資源也應該透過HTTPS拉入。這只是一個歷史性的意外，web從HTTP開始，網站逐漸升級到HTTPS。正如他們所做的那樣，他們並不總是更新到在任何地方都使用HTTPS資源。或者，他們可能依賴於當時不支援HTTPS的第三方資源。

現在，隨著谷歌和其他瀏覽器供應商使混合內容變得更加困難和令人沮喪，網站將不得不清理這些內容，以便它們的網頁在預設情況下繼續工作。

鉻到底在改變什麼？

Chrome目前阻止混合指令碼和iframe。Chrome 80將於2020年1月釋出到早期釋出頻道，Chrome將從技術上遮蔽混合的音訊和影片資源，它將嘗試透過安全的HTTPS連線載入這些資源，如果不這樣做，它將遮蔽這些資源。混合影象將載入，但Chrome會說網頁“不安全”。在Chrome 81中，Chrome將停止載入混合影象。使用者可以允許載入混合內容，但預設情況下不允許。

這都是讓網路更安全的一部分。谷歌的部落格文章說，它預計“不安全”的資訊“將激勵網站將其影象遷移到HTTPS。”