什麼是混合內容警告?
“此網站包含不安全的內容;”“只顯示安全的內容;”“Firefox阻止了不安全的內容。”您在瀏覽web時偶爾會遇到這些警告,但它們到底是什麼意思?
有兩種型別的混合內容-一種比另一種差,但都不是好的。混合內容警告表示您訪問的網頁有問題。
什麼是混合含量(mixed content)?
相關:什麼是HTTPS,我為什麼要關心?
這些都歸結為HTTP和HTTPS之間的區別。HTTP是最常用的連線型別—當您使用HTTP協議訪問網站時,與網站的連線不安全。任何偷聽流量的人都可以看到你正在檢視的頁面和你來回傳送的任何資料。
這就是為什麼我們有HTTPS,字面意思是“HTTP安全”。HTTPS在您和web伺服器之間建立一個安全連線。連線是加密和認證的,所以沒有人可以窺探你的流量,你有一些保證你連線到正確的網站。這對於保護帳戶密碼和線上支付資料非常重要,確保沒有人可以竊聽它們。
混合內容警告表示您透過HTTPS訪問的網頁有問題。HTTPS連線應該是安全的,但是網頁的原始碼使用不安全的HTTP協議(而不是HTTPS)引入其他資源。您的web瀏覽器的位址列會顯示您已連線HTTPS,但該頁面也在後臺載入使用不安全HTTP協議的資源。為了確保您知道您使用的網頁不是完全安全的,瀏覽器會顯示一個警告,說明該網頁同時包含HTTPS和HTTP內容——換句話說,混合內容。
為什麼這很危險
相關:什麼是加密,它是如何工作的?
這就是為什麼這實際上是危險的。假設你在一個付款頁面上,你要輸入你的信用卡號。payment頁面表明它是一個加密的HTTPS連線,但您會看到一個混合內容警告。這應該是個危險訊號。您輸入的支付詳細資訊可能會被不安全的內容捕獲,並透過不安全的連線傳送,從而消除HTTPS安全的好處—有人可能會竊聽並看到您的敏感資料。
由於HTTP與HTTPS不同,無法對web伺服器進行身份驗證,因此安全HTTPS站點從HTTP站點拉入指令碼也有可能被欺騙,從而拉入攻擊者的指令碼並在其他安全站點上執行。當使用HTTPS時,您可以更加保證內容沒有被篡改並且是合法的。
在這兩種情況下,這消除了安全HTTPS連線的好處。一個網站可能會有不安全的內容警告,但仍然可以正確保護您的個人資料,但我們真的不確定,不應該承擔風險-這就是為什麼web瀏覽器會在您遇到一個沒有正確編碼的網站時向您發出警告。
混合主動內容與混合被動內容
實際上有兩種混合內容。更危險的是“混合活動內容”或“混合指令碼”。當HTTPS站點透過HTTP載入指令碼檔案時會發生這種情況。指令碼檔案可以在它想要的頁面上執行任何程式碼,因此透過不安全的連線載入指令碼會完全破壞當前頁面的安全性。Web瀏覽器通常完全阻止這種型別的混合內容。
第二種型別是“混合被動內容”或“混合顯示內容”。當HTTPS站點透過HTTP連線載入影象或音訊檔案之類的內容時,就會出現這種情況。這種型別的內容不會以同樣的方式破壞頁面的安全性,因此web瀏覽器不會做出如此嚴厲的反應。然而,這仍然是一個糟糕的安全實踐,可能會導致問題。例如,攻擊者可以用誤導性的影象替換影象,篡改理論上安全的頁面。影象載入請求還包含包含與網站相關聯的cookie資訊的頭,因此即使透過不安全的連線載入影象也可能導致問題。Web瀏覽器通常會顯示警告圖示或訊息,而不是完全阻止內容,因為這種混合內容在真實網站上仍然很常見。在Chrome中,您將看到一個帶有黃色三角形的掛鎖。
當您看到混合內容警告時該怎麼辦
預設情況下,Web瀏覽器通常會阻止最危險的混合內容型別。不要開啟它。如果你不能登入到一個網站或輸入網上支付詳細資訊而不載入混合內容,你應該離開網站,而不是把你的資訊輸入一個不安全的網站。讓網站所有者知道他們的網站是不安全的和壞的。
如果您看到一個警告,說明某個頁面包含可能不安全的其他資源,那麼無論如何登入都可能是安全的。如果像你的銀行這樣重要的網站有這個問題,這不是一個好兆頭,但這種混合內容的警告是很常見的。
另一方面,如果你正在訪問一個不需要HTTPS的網站,混合內容警告其實不是什麼大事。所有的混合內容警告意味著一個保證受益於HTTPS安全的網頁——換句話說,在最壞的情況下,您訪問的網頁與標準HTTP站點一樣不安全。所以,如果你訪問一個像維基百科這樣的網站只是為了閱讀一些文章,你看到一個混合內容的警告,你不需要太在意它。在最壞的情況下,它就像透過標準HTTP連線閱讀Wikipedia上的文章一樣不安全,無論如何這樣做都沒有問題。
為什麼有些網頁有這個問題
只有當網頁的編碼方式有問題時,您才會看到此錯誤。如果一個網頁是透過HTTPS提供的,那麼它還應該使用HTTPS協議來拉入指令碼檔案和它需要的其他內容。Web開發人員應該測試他們的Web頁面,確保它們不會在使用者的瀏覽器中觸發可怕的警告。如果你是一個使用者,你真的不能做任何事情-這是由網站所有者來修復它。
如果您是一名web開發人員,您所要做的就是確保您的HTTPS頁面從HTTPS URL而不是HTTP URL載入內容。一種方法是讓整個網站只在SSL上工作,所以所有的東西都只使用HTTPS。
如果您想建立一個可以透過HTTP或HTTPS提供服務並自動執行正確操作的頁面,可以使用“協議相關URL”讓使用者的瀏覽器根據使用者連線的協議自動選擇HTTP或HTTPS。例如,用於載入影象的與協議相關的URL類似於“img src=”//example.com/圖片.png“>;。瀏覽器會自動將http:或https:新增到URL的開頭,以適當的為準。當然,您需要確保所連結的站點同時透過HTTP和HTTPS提供資源。
Web瀏覽器會自動阻止混合內容或您的保護,這就是原因。如果你需要使用一個安全的網站,它不能正常工作,除非你啟用混合內容,網站的所有者應該修復它。
- 發表於 2021-04-09 04:09
- 閱讀 ( 57 )
- 分類:網際網路
你可能感興趣的文章
硫辛酸(lipoic acid)和α-硫辛酸(alpha lipoic acid)的區別
...們可以互換使用這些術語。 目錄 1. 概述和主要區別 2. 什麼是硫辛酸 3. 什麼是α硫辛酸 4. 硫辛酸與α-硫辛酸的相似性 5. 並列比較-硫辛酸與α-硫辛酸的表格形式 6. 摘要 什麼是硫辛酸(lipoic acid)? 硫辛酸是一種含硫脂肪酸,被認...
乳糜(chyle)和食糜(chyme)的區別
...是將食物轉化為能量和其他營養物質的**系統。無論你吃什麼食物都會轉化為營養物質,這些營養素可以作為能量,用於生長和其他細胞功能。人體消化系統主要由胃腸道和其他輔助消化**組成。當一個人吞嚥食物時,食物先進...
windows混合現實:它是什麼,現在如何嘗試
...名字聽起來很混亂——是虛擬現實,增強現實,還是別的什麼? ...
陣列和列表在python中的工作方式
...示例。如果您認為Python是一種無用的語言,請檢視我們為什麼不使用Python的原因。 ...
什麼是雲端計算?雲技術是如何工作的?
...然會引起混淆。還有一個問題:“這是一個雲服務。”為什麼這個服務沒有紮根於地面呢? ...
10條最有效的火種提取線
...象,下面的例子展示了一個引人注目的開場白能為你帶來什麼。 ...
GIMP2.10終於到了:有什麼新的嗎?
...眼了。但是GIMP是Photoshop的替代品嗎?這取決於你用它做什麼。 ...
什麼是“chrome元件”?他們如何解決netflix drm問題
... 那麼,什麼是Chrome元件?另外,你能用Chrome元件來解決你的Netflix DRM問題嗎?這是你需要知道的。 ...
克拉布斯先生的模因是什麼?6個例子
... 克拉布斯先生沉迷於金錢。如果有什麼辦法能讓克拉布斯賺更多的錢,那麼他就會接受,即使這對其他人都不利。 ...
如何在linux上強制使用者更改密碼
...:如何從Linux Shell建立和安裝SSH金鑰 密碼的解剖 到底是什麼讓密碼好呢?好的密碼應該具備以下所有屬性: 不可能猜出來或弄清楚。 你在別的地方都沒用過。 它沒有涉及資料洩露。 “我被遮蔽了”(HIBP)網站包含超過100億...
