Chrome 将不再允许 https:// 页面加载 HTTP 资源

最新推荐文章于 2025-12-10 13:58:00 发布
转载 最新推荐文章于 2025-12-10 13:58:00 发布 · 811 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.iocoder.cn/zhishixingqiu/?vip\x26amp;amp;mp

Google宣布,Chrome浏览器将逐步阻止加载HTTP子资源,即使在HTTPS页面上。此改动旨在提高网页安全性,防止混合内容带来的风险。自Chrome79起开始测试,到Chrome81将全面实施,包括自动升级音频、视频和图像资源为HTTPS,无法升级的将被阻止。

点击上方“芋道源码”,选择“设为星标

做积极的人,而不是积极废人!

源码精品专栏

 

来源:oschina.net/news/110345/

Chrome 安全小组近日在一篇博客文章中表示,计划使 https:// 页面不再加载 HTTP 子资源。

根据 Google 的说法,Chrome 用户现在在所有主要平台上的 HTTPS 上花费了 90% 以上的浏览时间。但是,那些安全页面加载不安全的 HTTP 子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的,但有些会作为图像、音频和视频或“混合内容”潜入,混合内容可能会使用户面临风险,比如脚本、iframe 与媒体文件。

从今年 12 月开始测试的 Chrome 79 开始,Chrome 将会逐步阻止所有混合内容。到 2020 年 1 月,Chrome 80 会将所有混合音频和视频资源自动升级为 HTTPS,如果无法通过 HTTPS 加载,则将自动被阻止。最终,在 2020 年 2 月,Chrome 81 将所有混合图像、音频与视频自动升级为 HTTPS,并且阻止那些无法通过 HTTPS 加载的图像。

同时,Chrome 79 中还将添加一个新设置项,用户可以用来取消阻止特定站点上的混合内容。

这样的过渡使开发人员有时间将其混合内容迁移到 HTTPS 上。

类似的措施,此前我们报导过,谷歌 Chrome 工程师 Emily Stark 已经在 W3C 邮件列表上提出,计划在 HTTPS 网站上默认禁止一些通过 HTTP 下载的行为,当涉及到下载 EXE、DMG(Mac 应用二进制文件)、CRX(Chrome 扩展包) 与诸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z 等主流压缩/打包文件时,浏览器将阻止下载。默认阻止下载的这些文件类型被认为是“高风险”的,因为它们最有可能被滥用来隐藏恶意程序。

????那么问题就来了,你们全站都更换 HTTPS 了么?

我们已经换了,美滋滋。嘿嘿。

欢迎加入我的知识星球,一起探讨架构,交流源码。加入方式,长按下方二维码噢

已在知识星球更新源码解析如下:


如果你喜欢这篇文章,喜欢,转发。

生活很美好,明天见(。・ω・。)ノ♡

PHP 伪协议:使用 php://input 访问原始 POST 数据
两个月亮
10-07 1万+
php://input 是 PHP 提供的一个伪协议,允许开发者 访问 POST 请求的原始内容。enable_post_data_reading 是 PHP 中的一个布尔配置项,该配置项决定了 是否在 PHP 启动时读取和解析 POST 数据以填充 $_POST 与 $_FILES 超全局变量。在 默认情况 下,enable_post_data_reading 是 开启 的。
精选资源
chrome/edge实用工具
04-16
这表明压缩包内至少有一个Chrome扩展,很可能是一个通用的Chrome插件,用户可以通过将此CRX文件拖放到Chrome的扩展管理页面来安装。CRX文件包含了插件的所有代码、资源和元数据,使得用户无需通过Chrome Web Store就...
Chrome不再允许HTTPS页面加载HTTP资源
Seky_fei的博客
06-10 6357
今天线上反馈一个问题
Chrome浏览器https网站里http资源加载报错
huangpb的博客
05-06 5811
今天遇到这么一个问题,我们的网站是https的,Chrome浏览器在加载一个http的图片时报错:仔细查看报错的图片路径,发现图片路径的http协议被Chrome浏览器强制改成了https
谷歌浏览器(chrome允许跨域/允许https网站中发送http请求
最新发布
Microsoft.Net,刘少盟
12-10 540
注意:这只是针对单独的网站设置的,如果需要多网站,需要对每个网站单独设置。3. 打开网站设置后,将不安全内容选项改成允许即可。第一步:对谷歌浏览器图标点击鼠标右键,打开属性面板。在html的header中加入 (未验证)第一步:点击浏览器地址左边的锁的图标。2. 点击后,在弹窗里面选择网站设置。第二步:在下图位置,添加下列代码。方法一(针对所有访问网站)第三步:应用以后打开就好了。方法二(针对单一网站)
Chrome浏览器中访问http会自动跳转https下,导致请求和文件不能正常访问
日常bug
12-11 1806
网上查了很多解决方案,例如清楚缓存等等其他方法,都不能解决该问题。
chrome浏览器 如何在HTTPS 网页中引入HTTP资源: Mixed Content
小桥流水丶
09-16 1万+
HTTPS页面里动态的引入HTTP资源,比如引入一个js文件,会被直接block掉的.在HTTPS页面里通过AJAX的方式请求HTTP资源,也会被直接block掉的。这样就导致我们的网页没办法正常浏览及点击,问题如下图所示:
精选资源
newtab:一个非常简单的页面来替换新的默认Chrome标签
04-29
"newtab"是一个针对Google Chrome浏览器的自定义新标签页解决方案。这个项目旨在提供一个简洁、用户友好的界面,以替代Chrome默认的新标签页。它专注于提供一个无干扰的浏览体验,让用户能够快速访问他们最常使用的...
chrome资源嗅探扩展
05-14
"猫抓"能够显示每个资源加载时间,帮助开发者识别哪些资源可能造成页面加载延迟,从而进行针对性优化。 5. **API请求跟踪**: 对于依赖API的数据驱动网站,"猫抓"可以捕获API请求,包括请求的URL、参数、响应...
Chrome调试
10-22
- **功能简述**: 显示页面加载的所有资源列表,包括但不限于图片、JavaScript文件、CSS文件等。 - **资源管理**: 提供对这些资源的详细信息查看,如文件大小、类型等。 - **本地存储**: 展示了页面使用的本地存储...
此站点正在尝试打开 ,chrome/edge 允许http网站打开url schema
LeonShih的博客
03-22 4268
Chrome / Edge 配置
https页面http请求的问题 汇总
FREEDOM
07-02 1万+
https页面中不能使用http请求,http页面中可以使用https请求。关于在https 页面有一些http的请求,可以在<head></head>中设置<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">来自动升级httphttps,就不需要修改源代...
Chrome浏览器的相关知识
Zeroliuyun的博客
12-28 4649
2.搜索 #enable-webrtc-hide-local-ips-with-mdns 该配置 并将属性改为。
chrome设置跨域和允许https网站中发送http请求
kaerbuka的博客
09-29 5119
允许跨域 --disable-web-security --user-data-dir="C:/ChromeDevSession" 允许使用非安全请求 --allow-running-insecure-content 示例 在chrome快捷方式上右键-->属性-->目标,加入上述参数 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-web-security --user-data
https页面加载http资源的解决方法
热门推荐
Ryan的博客
01-15 4万+
前言 在公司做了一个官网项目,在浏览器中调试查看页面页面样式、布局都是按照代码写的那样。没有任何异常。由于公司的服务器还没通过备案,于是我打算先部署在我自己的阿里云服务器中去测试看看。不测还好,一测发现网址打开后,页面布局全乱了,很多报错,我以为是css没有引用上去,可是看到页面中设置的color都有显示。而且页面中部分图片都没有加载出来。这就让我有点懵,网上搜了一下原因才知道原来是:在https中引入了http资源所导致的。 浏览器警告的,它的意思是:“混合内容:“”中的页面已通过H...
如何在HTTPS 网页中引入HTTP资源: Mixed Content?
止于至善
10-23 1万+
错误:this request has been blocked;the content must be served over https解决方案相对协议 对于同时支持HTTPSHTTP资源,引用的时候要把引用资源的URL里的协议头去掉,浏览器会自动根据当前是HTTPS还是HTTP来给资源URL补上协议头的,可以达到无缝切换。 iframe方式 使用iframe的方式引入HTTP资源
【随笔记】在HTTPS加载HTTP资源
hao114500043的专栏
05-17 2570
【随笔记】在HTTPS加载HTTP资源 水滴石穿,遇到即是缘分。 首先现在HTTPS加密的网站内,不在支持加载HTTP类型的资源。但是很多时候我们可以保证自身的网站是HTTPS加密的,当有异系统对接时,无法保证这件事,现在浏览器侧有拒绝这种行为,非常的难做、难实现。 代理策略 通过Nginx进行代理中转,这个策略是相对网上很多方式中,最简单的,最稳妥的。 例子:https://ip的网站去加载一个http地址的1.mp4文件,我们需要怎么做? 将1.MP4文件地址进行代理,发布出一个HTTP
解决在HTTPS页面里嵌套HTTP页面浏览器block的问题
weixin_30512089的博客
02-12 4982
问题描述: 浏览器默认是不允许HTTPS里面引用HTTP页面的,ie下面会弹出提示框提示是否显示不安全的内容,一般都会弹出提示框,用户确认后才会继续加载,但是chrome下面直接被block掉,只在控制台打出信息。 在写网站的时候,自己的网站要嵌入别的网站,用iframe嵌入部分内容,当我把网站升级成https后,发现用iframe嵌http页面内容显示不出来,chrome控...
chromium源码修改,如果打开的是chrome://开头的url地址,则在页面打开完毕后修改一下url,把chrome://修改为xiaozhi://开头,不重新加载页面
07-30
在 Chromium 中实现打开 `chrome://` 开头的 URL 后将其替换为 `xiaozhi://` 开头的 URL 且不重新加载页面,需要在浏览器内核层面进行干预,同时确保地址栏显示更新但页面状态保持不变。这可以通过 `NavigationThrottle` 和 `WebContents` 的 URL 显示控制机制来实现。 ### 3.1 使用 `NavigationThrottle` 拦截导航请求 Chromium 提供了 `NavigationThrottle` 接口,允许在导航开始前进行干预。通过实现该接口,可以检测到以 `chrome://` 开头的 URL,并将其重定向为 `xiaozhi://`,但该方式会触发页面重新加载。 ```cpp class XiaozhiNavigationThrottle : public content::NavigationThrottle { public: explicit XiaozhiNavigationThrottle(content::NavigationHandle* handle) : content::NavigationThrottle(handle) {} const char* GetName() const override { return "XiaozhiNavigationThrottle"; } content::NavigationThrottle::ThrottleCheckResult WillStartRequest() override { const GURL& url = navigation_handle()->GetURL(); if (url.SchemeIs("chrome")) { GURL::Replacements replacements; replacements.SetSchemeStr("xiaozhi"); GURL new_url = url.ReplaceComponents(replacements); return content::NavigationThrottle::ThrottleCheckResult( content::NavigationThrottle::ACTION_REDIRECT, new_url); } return content::NavigationThrottle::ThrottleCheckResult( content::NavigationThrottle::ACTION_CONTINUE); } }; ``` 此类需在 `content::BrowserContext` 的 `GetNavigationThrottles` 方法中注册,确保每个导航请求都会被处理[^2]。 ### 3.2 通过 `WebContents` 控制地址栏显示而不重新加载页面 若希望在页面加载完成后仅修改地址栏显示的 URL 而不重新加载页面,则应通过 `WebContents` 的 `DidChangeVisibleSecurityState` 或 `DidFinishNavigation` 方法更新 URL 显示状态。 ```cpp void OnDidFinishNavigation(content::NavigationHandle* handle) { if (handle->IsInMainFrame() && handle->HasCommitted() && handle->GetURL().SchemeIs("chrome")) { GURL::Replacements replacements; replacements.SetSchemeStr("xiaozhi"); GURL new_url = handle->GetURL().ReplaceComponents(replacements); handle->GetWebContents()->GetController().GetVisibleEntry()->SetURL(new_url); handle->GetWebContents()->NotifyNavigationStateChanged(content::INVISIBLE); } } ``` 此方法不会触发页面重新加载,仅修改地址栏显示内容,适用于需要保持页面状态的场景[^4]。 ### 3.3 注册自定义协议 `xiaozhi://` 为了让浏览器识别 `xiaozhi://` 协议并正常加载资源,需在 `ContentBrowserClient` 中注册自定义协议的 `URLLoaderFactory`。 ```cpp void MyContentBrowserClient::RegisterNonNetworkSubresourceURLLoaderFactories( content::RenderFrameHost* frame_host, NonNetworkURLoaderFactoryMap* factories) { factories->Add( frame_host, std::make_unique<XiaozhiURLLoaderFactory>(frame_host->GetProcess()->GetID())); } ``` ### 3.4 页面加载后通过 JavaScript 替换 URL(可选) 若需在页面加载完成后通过前端脚本修改地址栏显示,可以使用 `history.replaceState` 方法,仅改变地址栏内容而不触发页面重新加载。 ```javascript if (window.location.protocol === 'chrome:') { window.history.replaceState({}, '', window.location.href.replace(/^chrome:/, 'xiaozhi:')); } ``` 该脚本可通过 `content::RenderFrameObserver` 注入到页面中,确保在页面加载后自动执行[^5]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值