Google Chrome已经屏蔽了网络上某些类型的“混合内容”。现在，谷歌宣布它将变得更加严重：从2020年初开始，Chrome将默认屏蔽所有混合内容，破坏一些现有的网页。这就是它的意思。

什么是混合内容？

这里有两种类型的内容：通过安全的加密HTTPS连接传递的内容和通过未加密的HTTP连接传递的内容。当你使用HTTPS时，内容在传输过程中不能被窥探或篡改，这就是为什么它的关键网站在处理金融信息或私人数据时提供加密。

网络正在向保护HTTPS网站的方向发展。如果你在没有加密的情况下连接到一个较旧的HTTP网站，谷歌Chrome现在会警告你这些网站“不安全”。“谷歌现在甚至在默认情况下隐藏了”https：//“指示符，因为网站在默认情况下应该是安全的。新的HTTP/3标准将具有内置加密功能。

但有些网页既不能完全是HTTPS，也不能完全是HTTP。有些网页通过安全的HTTPS连接传送，但它们通过未加密的HTTP连接引入图像、脚本或其他资源。这样的网页有“混合内容”，因为它们不是完全安全的。网页本身不能被篡改，但它可能会引入可能被篡改的脚本、图像或IFRAME(另一个网页的“框架”中的网页)。

为什么混合内容不好

混合内容令人困惑。不知何故，您正在查看的网页既安全又不安全。例如，通常安全可靠的网页可以通过HTTP引入JavaScript文件。这个脚本可能会被修改-例如，如果你在一个不值得信任的公共Wi-Fi网络上-在网页上做许多令人讨厌的事情，从监控你的按键到插入跟踪cookie。

虽然脚本和iframe-“活动内容”-是最危险的，但即使是图像、视频和音频混合内容也可能存在风险。例如，假设您正在查看一个安全的股票交易网站，该网站通过HTTP拉入股票历史的图像。这张图片不安全--它可能在传输过程中被篡改了，从而显示了不正确的细节。此外，因为它是通过未加密的连接传输的，所以任何窥探传输中的数据的人都可能知道您正在查看的是什么股票。

把这样的内容混在一起不是个好主意。如果一个网页使用HTTPS，那么它的所有资源也应该通过HTTPS拉进来。这只是一个历史上的意外--网络始于HTTP，网站逐渐升级到HTTPS。正如他们所做的那样，他们并不总是更新以在任何地方使用HTTPS资源。或者，他们可能依赖于当时不支持HTTPS的第三方资源。

现在，随着谷歌和其他浏览器供应商使混合内容变得更加困难和令人沮丧，网站将不得不进行清理，这样他们的网页才能默认继续工作。

Chrome到底在发生什么变化？

Chrome目前阻止混合脚本和IFRAME。Chrome 80将于2020年1月提前发布，在Chrome 80中，Chrome将屏蔽混合的音频和视频资源--从技术上讲，它将尝试通过安全的HTTPS连接加载它们，如果它们不愿意，就阻止它们。混合的图像将被加载，但Chrome会说网页“不安全”。在Chrome81中，Chrome也将停止加载混合图像。用户可以允许加载混合内容，但默认情况下不允许。

这一切都是让网络更加安全的一部分。谷歌的博客文章说，它预计“不安全”的信息“将促使网站将其图像迁移到HTTPS。”

Chrome将如何让您解锁混合内容

Chrome已经用地址栏中的盾牌图标和“已阻止的不安全内容”消息屏蔽了某些类型的混合内容。您可以在这个由Google创建的混合内容示例页面上看到它是如何工作的。例如，要取消阻止混合内容脚本，您必须单击名为“加载不安全脚本”的链接。

如果您同意运行混合内容，则网页将从安全更改为不安全。

谷歌将在2019年12月发布的Chrome 79中简化这一点。您必须单击页面地址左侧的锁定图标，单击“站点设置”，然后取消阻止该站点的混合内容。

选择变得更加隐蔽，但这就是重点：大多数人永远不需要为站点启用混合内容。网站开发人员需要修复他们的网站以安全地交付资源。此选项将确保使用较旧业务站点的任何人都可以继续访问该站点，即使对所有人禁用混合内容也是如此。

如果你需要一个需要这样做的网站，别担心：谷歌还没有宣布取消在Chrome中加载混合内容的选项的日期。默认情况下，谷歌的网络浏览器将屏蔽所有混合内容，但在可预见的未来将继续提供启用混合内容的选项。

其他浏览器呢？

Chrome并不孤单。Firefox也会屏蔽脚本和iframe等混合内容，需要你点击“暂时禁用保护”设置才能重新启用它。我们预计Mozilla将追随谷歌的脚步。苹果的Safari在屏蔽混合内容方面也很积极。

当然，微软新的Edge浏览器将基于Chromium代码，而Chromium代码构成了Google Chrome的基础，并将像Chrome一样运行。

相关：为什么Google Chrome说网站“不安全”？