網(wǎng)站內容自動(dòng)更新(解決Web瀏覽器中出現的HTTPS混合內容錯誤的方法(圖))

　　Google 的工程師正在尋找解決 HTTPS 混合內容錯誤的方法，現在他們似乎有了正確的想法...... Chrome 團隊將在本周進(jìn)行一項實(shí)驗，嘗試給 Mozilla 一個(gè) HTTPS 問(wèn)題，Mozilla 上次也試圖解決這個(gè)問(wèn)題年 找到了解決方案。這個(gè)問(wèn)題被稱(chēng)為“混合內容”，谷歌將其描述如下：

　　當初始 HTML（網(wǎng)頁(yè)）通過(guò)安全的 HTTPS 連接加載，但其他資源（如圖像、視頻、樣式表、腳本）通過(guò)不安全的 HTTP 連接加載時(shí)，將出現混合內容。之所以稱(chēng)為混合內容，是因為 HTTP 和 HTTPS 內容都加載并顯示在同一頁(yè)面上，并且初始請求在 HTTPS 上是安全的?，F代瀏覽器將顯示有關(guān)此類(lèi)內容的警告，以向用戶(hù)表明當前頁(yè)面收錄不安全的資源。

　　在過(guò)去幾年中，混合內容一直是??瀏覽器制造商和其他推動(dòng)采用 HTTPS 的組織的主要問(wèn)題?；旌蟽热轂g覽器中的錯誤通常被認為會(huì )阻止用戶(hù)訪(fǎng)問(wèn) 網(wǎng)站。這也讓很多網(wǎng)站運營(yíng)商不敢遷移到HTTPS。他們擔心會(huì )因為支持HTTPS而失去流量收入的實(shí)實(shí)在在的收益。從這個(gè)角度來(lái)看，解決Web瀏覽器中的混合內容錯誤很可能是說(shuō)服網(wǎng)站運營(yíng)商轉向HTTPS的最終主要障礙。

　　本周，谷歌工程師在 Chrome 上啟動(dòng)了一項實(shí)驗，可以將瀏覽器配置為自動(dòng)將任何混合內容升級為完整的 HTTPS。Chrome 可以通過(guò)將資源（例如圖像、視頻、樣式表、腳本）的 URL 從 HTTP 版本秘密更改為 HTTPS 的替代版本來(lái)實(shí)現這一點(diǎn)。如果 HTTPS 鏈接上存在相同的資源，則所有內容都會(huì )正常加載。如果備用 HTTPS 鏈接上不存在該資源，Chrome 將記錄錯誤并執行為此實(shí)驗配置的多個(gè)方案之一（詳細信息請參閱此文檔）。

　　正常情況下，網(wǎng)站所有者在更新網(wǎng)站使用HTTPS時(shí)，可能會(huì )忘記修改部分網(wǎng)站源代碼，導致部分內容留給HTTP加載，而這內容可能通過(guò)HTTPS加載也是可能的。

　　這個(gè)實(shí)驗的目的是讓谷歌工程師看到如果Chrome默認自動(dòng)將所有混合內容站點(diǎn)更新為HTTPS，會(huì )發(fā)生多少網(wǎng)站崩潰，以及破壞混合內容HTTP URL的最佳回退策略是什么。如果鏈接和網(wǎng)站被破壞的比例很小，谷歌工程師很可能會(huì )考慮在Chrome瀏覽器中推出這個(gè)HTTPS自動(dòng)更新功能，這是向更安全的網(wǎng)絡(luò )邁出的又一步。

　　目前，Google 打算在大約 1% 的 Chrome Canary 用戶(hù)組（啟用了 chrome://flags/#enable-origin-trials 標志的用戶(hù)）中啟動(dòng)這項實(shí)驗。

　　據了解，谷歌的實(shí)驗不會(huì )是第一次。去年，Mozilla 在 Firefox 中使用了類(lèi)似的混合內容自動(dòng)更新并進(jìn)行了測試。谷歌安全工程師艾米麗·斯塔克說(shuō)：“他們發(fā)現了很多破損，我們希望這個(gè)實(shí)驗能夠改進(jìn)?！?此外，還計劃進(jìn)行其他混合內容處理實(shí)驗。