Skip to main content

什麼是混合內容警告?

什麼是混合內容警告?

Geoffrey Carr

“此網站內容不安全;”“僅顯示安全內容;”“Firefox已阻止不安全的內容。”您在瀏覽網頁時偶爾會遇到這些警告,但這究竟是什麼意思?

混合內容有兩種類型 - 一種比另一種更差,但兩種都不好。混合內容警告表示您正在訪問的網頁出現問題。

什麼是混合內容?

這一切都歸結為HTTP和HTTPS之間的差異。 HTTP是最常用的連接類型 - 當您使用HTTP協議訪問網站時,您與網站的連接不安全。任何竊聽流量的人都可以看到您正在查看的頁面以及您來回發送的任何數據。

這就是我們擁有HTTPS的原因,它實際上是“HTTP安全”.HTTPS在您和Web服務器之間創建了一個安全的連接。該連接已經過加密和身份驗證,因此沒有人可以窺探您的流量,並且您可以確保已連接到正確的網站。這對於保護帳戶密碼和在線支付數據非常重要,確保沒有人可以竊聽它們。

混合內容警告表示您通過HTTPS訪問的網頁存在問題。 HTTPS連接應該是安全的,但網頁的源代碼使用不安全的HTTP協議而不是HTTPS來吸引其他資源。您的Web瀏覽器的地址欄將顯示您已使用HTTPS連接,但該頁面還在後台加載具有不安全HTTP協議的資源。為了確保您知道您正在使用的網頁不是完全安全,瀏覽器會顯示一條警告,說明該頁面同時包含HTTPS和HTTP內容 - 混合內容,換句話說。

為什麼這是危險的

這就是為什麼這實際上是危險的。假設您在付款頁面上,並且即將輸入您的信用卡號碼。付款頁面表明它是加密的HTTPS連接,但您會看到混合內容警告。這應該引起一面紅旗。您輸入的付款詳細信息可能會被不安全的內容捕獲並通過不安全的連接發送,從而消除了HTTPS安全性的好處 - 有人可能會竊聽並查看您的敏感數據。

由於HTTP不像HTTPS那樣對Web服務器進行身份驗證,因此從HTTP站點引入腳本的安全HTTPS站點也可能被欺騙,以拉動攻擊者的腳本並在其他安全站點上運行它。使用HTTPS時,您可以更加確信內容未被篡改且合法。

在這兩種情況下,這都消除了擁有安全HTTPS連接的好處。一個網站可能會有一個不安全的內容警告,仍然可以正確保護您的個人數據,但我們確實不確定並且不應該承擔風險 - 這就是為什麼當您遇到不是網站的時候網頁瀏覽器會發出警告的原因編碼正確。

混合活動內容與混合被動內容

實際上有兩種類型的混合內容。更危險的是“混合活動內容”或“混合腳本”。當HTTPS站點通過HTTP加載腳本文件時會發生這種情況。腳本文件可以在其想要的頁面上運行任何代碼,因此通過不安全的連接加載腳本完全破壞了當前頁面的安全性。 Web瀏覽器通常完全阻止這種類型的混合內容。

第二種類型是“混合被動內容”或“混合顯示內容”。當HTTPS站點通過HTTP連接加載類似圖像或音頻文件的內容時,會發生這種情況。這種類型的內容不能以同樣的方式破壞頁面的安全性,因此Web瀏覽器不會做出嚴厲的反應。但是,它仍然是一個糟糕的安全措施,可能會導致問題。例如,攻擊者可以用誤導性圖像替換圖像,篡改理論上安全的頁面。圖像加載請求還包含包含與網站關聯的cookie信息的標題,因此即使在不安全的連接上加載圖像也會導致問題。 Web瀏覽器通常會顯示警告圖標或消息,而不是完全阻止內容,因為這種混合內容在真實網站上仍然很常見。在Chrome中,您會看到一個帶黃色三角形的掛鎖。

當您看到混合內容警告時該怎麼辦

Web瀏覽器通常默認阻止最危險類型的混合內容。不要解鎖它。如果您無法在不加載混合內容的情況下登錄網站或輸入在線支付詳細信息,則應該離開網站,而不是將您的信息輸入不安全的網站。讓網站所有者知道他們的網站是不安全和破壞的。

如果您看到頁麵包含可能不安全的其他資源的警告,則無論如何都可以安全登錄。如果像您的銀行這樣重要的網站存在此問題,這不是一個好兆頭,但這種混合內容警告非常常見。

另一方面,如果您訪問不需要HTTPS的網站,混合內容警告並不是什麼大問題。所有混合內容警告意味著保證可以從HTTPS安全性中受益的網頁 - 換句話說,在最壞的情況下,您訪問的網頁與標準HTTP站點一樣不安全。因此,如果您訪問維基百科這樣的網站只是為了閱讀一些文章而且您看到了混合內容警告,那麼您不需要太在意它。在最糟糕的情況下,它就像你在維基百科上通過標準HTTP連接閱讀文章一樣不安全,無論如何你都沒有問題。

為什麼有些網頁有這個問題

如果網頁編碼方式有問題,您只會看到此錯誤。如果通過HTTPS提供網頁,則還應使用HTTPS協議提取腳本文件及其所需的其他內容。 Web開發人員應該測試他們的網頁,確保他們不會在用戶的瀏覽器中觸發可怕的警告。如果您是用戶,則無法對此做任何事情 - 由網站所有者來解決。

如果您是Web開發人員,您所要做的就是確保您的HTTPS頁面從HTTPS URL加載內容,而不是HTTP URL。一種方法是讓整個網站只使用SSL,所以一切都只使用HTTPS。

如果您想創建一個可以通過HTTP或HTTPS提供服務的頁面並自動執行正確的操作,您可以使用“協議相對URL”讓用戶的瀏覽器根據用戶的協議自動選擇HTTP或HTTPS。與...聯繫。例如,用於加載圖像的協議相對URL看起來像 。瀏覽器會自動將http:或https:添加到URL的開頭,以適當的方式。當然,您需要確保您鏈接的網站通過HTTP和HTTPS提供資源。


Web瀏覽器會自動阻止混合內容或您的保護,這就是原因所在。如果您需要使用無法正常工作的安全網站,除非您啟用混合內容,網站所有者應該修復它。

Link
Plus
Send
Send
Pin