Chrome安全小組近日在一篇博客文章中表示，計劃使https://頁面不再加載HTTP子資源。

根據(jù)Google的說法，Chrome用戶現(xiàn)在在所有主要平臺上的HTTPS?上花費了90%以上的瀏覽時間。但是，那些安全頁面加載不安全的HTTP子資源卻是很常見的。這些子資源中的許多默認(rèn)情況下都是被阻止的，但有些會作為圖像、音頻和視頻或“混合內(nèi)容”潛入，混合內(nèi)容可能會使用戶面臨風(fēng)險，比如腳本、iframe與媒體文件。

從今年12月開始測試的?Chrome 79開始，Chrome將會逐步阻止所有混合內(nèi)容。到2020年1月，Chrome 80會將所有混合音頻和視頻資源自動升級為HTTPS，如果無法通過HTTPS加載，則將自動被阻止。最終，在2020年2月，Chrome 81將所有混合圖像、音頻與視頻自動升級為HTTPS，并且阻止那些無法通過HTTPS加載的圖像。

同時，Chrome 79中還將添加一個新設(shè)置項，用戶可以用來取消阻止特定站點上的混合內(nèi)容。

這樣的過渡使開發(fā)人員有時間將其混合內(nèi)容遷移到HTTPS上。

類似的措施，此前我們報導(dǎo)過，谷歌Chrome工程師Emily Stark已經(jīng)在?W3C郵件列表上提出，計劃在HTTPS網(wǎng)站上默認(rèn)禁止一些通過HTTP下載的行為，當(dāng)涉及到下載EXE、DMG、CRX（Chrome擴展包）與諸如ZIP、GZIP、BZIP、TAR、RAR和?7Z等主流壓縮/打包文件時，瀏覽器將阻止下載。默認(rèn)阻止下載的這些文件類型被認(rèn)為是“高風(fēng)險”的，因為它們最有可能被濫用來隱藏惡意程序。