今年十月，Google即将发布Chrome浏览器86新版本的正式更新，这意味着Chrome将阻止所有类型非HTTPS的混合内容下载。

为进一步加固浏览器的安全防线，全球份额已达71%的浏览器霸主Chrome可谓“操碎了心”，早在今年2月份，Google宣布：为了增强用户下载防护体验，Chrome浏览器将逐步阻止非“安全超文本传输协议”的混合内容下载，确保HTTPS安全页面仅下载安全文件。

为什么阻止HTTPS页面的HTTP资源下载

HTTPS混合内容错误一直是网站推进HTTPS加密的一大阻碍。HTTPS混合内容错误是指，初始网页通过安全的HTTPS链接加载，但页面中其他资源（如：图像、视频、样式表、脚本）却通过不安全的HTTP链接加载，这样就会出现混合内容错误（也就是不安全因素）。据谷歌报道，Chrome用户在所有主要平台上超过90%的浏览时间都使用HTTPS，但是这些安全页面通常会加载不安全的HTTP子资源。

初期，Chrome屏蔽始于安全页面的不安全下载。这种情况尤其让人担忧，因为Chrome当前无法向用户表明其隐私和安全受到威胁。不安全的文件下载会威胁到用户的安全和隐私。例如，攻击者可以将通过HTTP下载的程序替换为恶意程序，窃听者可以读取用户通过HTTP下载的银行对账单等。为了解决这些风险，谷歌计划最终在Chrome中禁止加载不安全资源。作为去年宣布的一项计划的延续，Chrome将阻止“安全页面”上的所有“非安全子资源”的接触。

​

Chrome阻止混合内容的六阶段计划表

从2020年4月的Chrome 82开始，Chrome浏览器便采取行动向用户发出警告、进一步确保安全性，直至最终阻止“混合内容的下载” （安全页面上的非HTTPS下载）支持。其中对用户构成最大风险的文件类型（可执行文件）首先受到影响，后续版本将覆盖更多的文件类型。

谷歌计划首先在 Windows、macOS、ChromeOS 和 Linux 桌面平台上推出对混合内容下载的限制。Chrome 团队将这一过程分为六个步骤，分别是：

☞ Chrome 81（2020年 3 月）：浏览器会蹦出一条控制台消息，警告所有混合内容的下载；

☞ Chrome 82（2020年 4 月）：浏览器将警告（.exe 等可执行文件）的混合内容下载；

☞ Chrome 83（2020年 6 月）：警告 .zip 档案和 .iso 磁盘映像混合内容的下载；

☞ Chrome 84（2020年 8 月）：警告除图片、音视频、文本之外的混合内容的下载；

☞ Chrome 85（2020 年9 月）：警告图像、音视频和文本类混合内容的下载；

☞ Chrome 86（2020 年10 月）：阻止所有类型混合内容的下载。

逐步推出的目的，旨在快速缓解严重的安全风险，鉴于移动平台具有更好的抵御恶意文件的本机防护功能，为开发人员提供更新其网站的缓冲时间，避免因不安全网站影响Chrome用户的使用体验。

您的网站内容混合吗？

您的网站内容混合吗？相信多数网站管理者不清楚其网站有哪些混合内容，而Chrome 86版本的重大更新帮助用户了解所有HTTP网站都是不安全的，迫使网站管理员将其站点升级到更安全的HTTPS协议，保护用户的隐私和数据安全。

应对策略

① 检查您的网站上的混合内容/不安全链接，排查网站内的加载文件，确保所有文件都仅通过HTTPS下载，可借助证书检测工具解决HTTPS的不安全（外链）问题，对网站实时监控并获取专业评估报告，以便检测自己部署的HTTPS网站是否真正的安全。

② 建议网站进行全站HTTPS加密，保护隐私数据，防止窃听和泄露。

③ 担心全站HTTPS会消耗较多的云端服务器 CPU资源，增加延时？建议制定全站HTTPS加速的性能优化解决方案。