在 Chrome 中,我注意到偶尔会在 URL 栏中收到混合内容警告,例如:
我可以将 Chrome 配置为阻止混合内容,而不仅仅是发出警告吗(或者,如果我之前意外忽略了警告 - 则重置默认值)。
理由是 - 在坏事发生后,这能很好地告诉我。我宁愿坏事被阻止 - 之后,一定要警告我。
细节:
我正在使用 Gmail*,所以不仅仅是小网站,而且我在其他网站上也看到过它。
我没有收到任何弹出窗口或对话框询问我是否要显示不安全的内容。
单击挂锁获取详细信息会显示以下消息,这意味着不安全的资源已被显示但未被阻止:
您与 mail.google.com 的连接已使用 128 位加密技术加密。但是,此页面包含其他不安全的资源。其他人可以在传输过程中查看这些资源,攻击者也可以修改这些资源以更改页面的外观。
我在 OSX 上使用 Chrome 30.0.1599.101,但我之前在旧版本中也见过这种情况。
*严格来说,我使用 google apps 来处理域名,也就是说,我目前的雇主使用 gmail 来处理他们域名的电子邮件。检查 javascript 日志 (指示) 表明不安全内容是由于我通过不安全的连接下载了雇主的徽标。当然,让他们修复这个问题也会有所帮助 - 但这超出了这个问题的范围。
答案1
Chrome 会阻止一些不安全的高风险内容(javascript)并允许其他低风险内容(图像)
参观这个奇怪的ie 混合内容测试页,然后查看 javascript 控制台。您可以看到图像已显示(控制台中有警告),但不安全的脚本已被阻止。
这还行,但不是很好。恶意的中间人仍然可以通过这种方式跟踪用户。我仍然希望有阻止所有不安全内容的选项。
Firefox 23+ 也有此功能(我在上面 Firefox 24 的测试页面上验证过)它会阻止 javascript(firefox 称之为“主动内容”,但不阻止图像的“被动内容”)。
就 Gmail 而言,我发现了这一点生活黑客关于 Gmail 安全图标的文章。这说明我可能将外部图片下载到了电子邮件中……这会触发警告,而且由于 Gmail 是单页应用,通常不会重新加载,所以黄色挂锁永远不会消失。刷新页面,它又会变成绿色。
答案2
Chrome 和 Chromium 有(或者至少有有,在他们的历史上)一些相关的命令行标志:
--no-displaying-insecure-content据说覆盖了“默认情况下,https 页面可以从 http 页面加载图像、字体或框架”这一事实。--enable-strict-mixed-content-checking据说“阻止来自安全环境的所有不安全请求,并阻止用户推翻该决定”,这听起来就像你想要的。--enable-potentially-annoying-security-features据说“启用许多可能令人讨厌的安全功能(严格的混合内容模式、强大的功能限制等)。”这听起来好像相当于使用--enable-strict-mixed-content-checking和一些其他未指定的标志。