网站内容自动更新(解决Web浏览器中出现的HTTPS混合内容错误的方法(图))

　　网站内容自动更新(解决Web浏览器中出现的HTTPS混合内容错误的方法(图))

　　Google 的工程师正在寻找解决 HTTPS 混合内容错误的方法，现在他们似乎有了正确的想法...... Chrome 团队将在本周进行一项实验，尝试给 Mozilla 一个 HTTPS 问题，Mozilla 上次也试图解决这个问题年 找到了解决方案。这个问题被称为“混合内容”，谷歌将其描述如下：

　　当初始 HTML（网页）通过安全的 HTTPS 连接加载，但其他资源（如图像、视频、样式表、脚本）通过不安全的 HTTP 连接加载时，将出现混合内容。之所以称为混合内容，是因为 HTTP 和 HTTPS 内容都加载并显示在同一页面上，并且初始请求在 HTTPS 上是安全的。现代浏览器将显示有关此类内容的警告，以向用户表明当前页面收录不安全的资源。

　　在过去几年中，混合内容一直是​​浏览器制造商和其他推动采用 HTTPS 的组织的主要问题。混合内容浏览器中的错误通常被认为会阻止用户访问 网站。这也让很多网站运营商不敢迁移到HTTPS。他们担心会因为支持HTTPS而失去流量收入的实实在在的收益。从这个角度来看，解决Web浏览器中的混合内容错误很可能是说服网站运营商转向HTTPS的最终主要障碍。

　　本周，谷歌工程师在 Chrome 上启动了一项实验，可以将浏览器配置为自动将任何混合内容升级为完整的 HTTPS。Chrome 可以通过将资源（例如图像、视频、样式表、脚本）的 URL 从 HTTP 版本秘密更改为 HTTPS 的替代版本来实现这一点。如果 HTTPS 链接上存在相同的资源，则所有内容都会正常加载。如果备用 HTTPS 链接上不存在该资源，Chrome 将记录错误并执行为此实验配置的多个方案之一（详细信息请参阅此文档）。

　　正常情况下，网站所有者在更新网站使用HTTPS时，可能会忘记修改部分网站源代码，导致部分内容留给HTTP加载，而这内容可能通过HTTPS加载也是可能的。

　　这个实验的目的是让谷歌工程师看到如果Chrome默认自动将所有混合内容站点更新为HTTPS，会发生多少网站崩溃，以及破坏混合内容HTTP URL的最佳回退策略是什么。如果链接和网站被破坏的比例很小，谷歌工程师很可能会考虑在Chrome浏览器中推出这个HTTPS自动更新功能，这是向更安全的网络迈出的又一步。

　　目前，Google 打算在大约 1% 的 Chrome Canary 用户组（启用了 chrome://flags/#enable-origin-trials 标志的用户）中启动这项实验。

　　据了解，谷歌的实验不会是第一次。去年，Mozilla 在 Firefox 中使用了类似的混合内容自动更新并进行了测试。谷歌安全工程师艾米丽·斯塔克说：“他们发现了很多破损，我们希望这个实验能够改进。” 此外，还计划进行其他混合内容处理实验。