“此网站包含不安全的内容；”“只显示安全的内容；”“Firefox阻止了不安全的内容。”您在浏览web时偶尔会遇到这些警告，但它们到底是什么意思？

有两种类型的混合内容-一种比另一种差，但都不是好的。混合内容警告表示您访问的网页有问题。

什么是混合含量(mixed content)？

相关：什么是HTTPS，我为什么要关心？

这些都归结为HTTP和HTTPS之间的区别。HTTP是最常用的连接类型—当您使用HTTP协议访问网站时，与网站的连接不安全。任何偷听流量的人都可以看到你正在查看的页面和你来回发送的任何数据。

这就是为什么我们有HTTPS，字面意思是“HTTP安全”。HTTPS在您和web服务器之间创建一个安全连接。连接是加密和认证的，所以没有人可以窥探你的流量，你有一些保证你连接到正确的网站。这对于保护帐户密码和在线支付数据非常重要，确保没有人可以窃听它们。

混合内容警告表示您通过HTTPS访问的网页有问题。HTTPS连接应该是安全的，但是网页的源代码使用不安全的HTTP协议（而不是HTTPS）引入其他资源。您的web浏览器的地址栏会显示您已连接HTTPS，但该页面也在后台加载使用不安全HTTP协议的资源。为了确保您知道您使用的网页不是完全安全的，浏览器会显示一个警告，说明该网页同时包含HTTPS和HTTP内容——换句话说，混合内容。

为什么这很危险

相关：什么是加密，它是如何工作的？

这就是为什么这实际上是危险的。假设你在一个付款页面上，你要输入你的信用卡号。payment页面表明它是一个加密的HTTPS连接，但您会看到一个混合内容警告。这应该是个危险信号。您输入的支付详细信息可能会被不安全的内容捕获，并通过不安全的连接发送，从而消除HTTPS安全的好处—有人可能会窃听并看到您的敏感数据。

由于HTTP与HTTPS不同，无法对web服务器进行身份验证，因此安全HTTPS站点从HTTP站点拉入脚本也有可能被欺骗，从而拉入攻击者的脚本并在其他安全站点上运行。当使用HTTPS时，您可以更加保证内容没有被篡改并且是合法的。

在这两种情况下，这消除了安全HTTPS连接的好处。一个网站可能会有不安全的内容警告，但仍然可以正确保护您的个人数据，但我们真的不确定，不应该承担风险-这就是为什么web浏览器会在您遇到一个没有正确编码的网站时向您发出警告。

混合主动内容与混合被动内容

实际上有两种混合内容。更危险的是“混合活动内容”或“混合脚本”。当HTTPS站点通过HTTP加载脚本文件时会发生这种情况。脚本文件可以在它想要的页面上运行任何代码，因此通过不安全的连接加载脚本会完全破坏当前页面的安全性。Web浏览器通常完全阻止这种类型的混合内容。

第二种类型是“混合被动内容”或“混合显示内容”。当HTTPS站点通过HTTP连接加载图像或音频文件之类的内容时，就会出现这种情况。这种类型的内容不会以同样的方式破坏页面的安全性，因此web浏览器不会做出如此严厉的反应。然而，这仍然是一个糟糕的安全实践，可能会导致问题。例如，攻击者可以用误导性的图像替换图像，篡改理论上安全的页面。图像加载请求还包含包含与网站相关联的cookie信息的头，因此即使通过不安全的连接加载图像也可能导致问题。Web浏览器通常会显示警告图标或消息，而不是完全阻止内容，因为这种混合内容在真实网站上仍然很常见。在Chrome中，您将看到一个带有黄色三角形的挂锁。

当您看到混合内容警告时该怎么办

默认情况下，Web浏览器通常会阻止最危险的混合内容类型。不要打开它。如果你不能登录到一个网站或输入网上支付详细信息而不加载混合内容，你应该离开网站，而不是把你的信息输入一个不安全的网站。让网站所有者知道他们的网站是不安全的和坏的。

如果您看到一个警告，说明某个页面包含可能不安全的其他资源，那么无论如何登录都可能是安全的。如果像你的银行这样重要的网站有这个问题，这不是一个好兆头，但这种混合内容的警告是很常见的。

另一方面，如果你正在访问一个不需要HTTPS的网站，混合内容警告其实不是什么大事。所有的混合内容警告意味着一个保证受益于HTTPS安全的网页——换句话说，在最坏的情况下，您访问的网页与标准HTTP站点一样不安全。所以，如果你访问一个像维基百科这样的网站只是为了阅读一些文章，你看到一个混合内容的警告，你不需要太在意它。在最坏的情况下，它就像通过标准HTTP连接阅读Wikipedia上的文章一样不安全，无论如何这样做都没有问题。

为什么有些网页有这个问题

只有当网页的编码方式有问题时，您才会看到此错误。如果一个网页是通过HTTPS提供的，那么它还应该使用HTTPS协议来拉入脚本文件和它需要的其他内容。Web开发人员应该测试他们的Web页面，确保它们不会在用户的浏览器中触发可怕的警告。如果你是一个用户，你真的不能做任何事情-这是由网站所有者来修复它。

如果您是一名web开发人员，您所要做的就是确保您的HTTPS页面从HTTPS URL而不是HTTP URL加载内容。一种方法是让整个网站只在SSL上工作，所以所有的东西都只使用HTTPS。

如果您想创建一个可以通过HTTP或HTTPS提供服务并自动执行正确操作的页面，可以使用“协议相关URL”让用户的浏览器根据用户连接的协议自动选择HTTP或HTTPS。例如，用于加载图像的与协议相关的URL类似于“img src=”//example.com/图片.png“&gt；。浏览器会自动将http:或https:添加到URL的开头，以适当的为准。当然，您需要确保所链接的站点同时通过HTTP和HTTPS提供资源。

Web浏览器会自动阻止混合内容或您的保护，这就是原因。如果你需要使用一个安全的网站，它不能正常工作，除非你启用混合内容，网站的所有者应该修复它。