屏蔽混合内容

2022-06-16 23:31 阅读 1,467 views 次 屏蔽混合内容已关闭评论
自动拦截网页上有潜在危害的不安全内容以保护你免遭攻击。

当有混合内容在网页上加载时,浏览器就会显示一个灰色的三角警告图标或者一个标有叉号的锁的图标。

HTTP 是一种从网页服务器将信息传递到您的浏览器的系统。HTTP 并不是安全的,所以当您访问一个通过 HTTP 提供的页面时,您的连接正面临窃听和中间人攻击的风险。大多数网站都使用 HTTP 提供服务,因为它们不涉及敏感信息的传输,因而无需采取加密措施。

当您访问一个完全通过 HTTPS 提供的页面时(例如银行服务),您将看到地址栏中有 绿色挂锁 Fx57GreenPadlock挂锁 Fx70GreyPadlock 图标。这表示您的连接经过身份验证和加密,从而防止窃听和中间人攻击。

但是,如果您访问的 HTTPS 页面中含有 HTTP 内容,即使页面主体内容以 HTTPS 提供,HTTP 的部分仍然可被攻击者读取和篡改。当某个 HTTPS 页面含有 HTTP 内容时,我们称它为“混合内容”。这种页面仅被部分加密,尽管有些人认为这样是安全的,但事实并非如此。

混合内容有什么风险?攻击者可以替换您访问页面中的 HTTP 内容,从而使他们可以窃取您的身份凭据、使用您的账户、获取您的敏感数据,以及在您的计算机上安装恶意软件。

我怎么知道一个网页是否含有混合内容?

如果你在地址栏看到绿锁图标,这个页面就是安全的。如果这个页面有任何的不安全元素,浏览器也已经拦截了它们以确保页面是安全的。点击绿锁图标会显示更多的安全信息,你可以查看浏览器是否已经拦截了任何不安全元素。

当网页上显示和加载了不安全的无源内容时,浏览器会显示一个灰色的三角警告图标。如果你看到这个图标,请注意到攻击者可能会操控此页面的部分内容,比如显示具有误导性或者不恰当的内容,但是他们不应该能够从此网站上偷取你的个人信息。

如果你看到一个标有红色斜杠的锁的图标,表明浏览器没有拦截不安全元素,此页面暴露于窃听和攻击之下,你在此网站上的个人信息会因此被窃取。除非你按照下一部分的介绍内容取消拦截混合内容,否则你将不会看到此图标。

仅适用于高级用户:取消拦截混合内容

如果你需要取消拦截混合内容,你可以通过改变你的about:config设置来实现。此设置会应用于你所访问的所有网页:

  1. 在地址栏输入 about:config
  2. 将 security.mixed_content.block_active_content 设置更改成 false 来取消拦截HTTP内容。
  3. 当你看到标有红色斜杠的锁的图标时,表明浏览器没有拦截具有潜在危害的不安全内容:
警告: 取消拦截混合内容会使你易于遭到攻击。
开发人员: 如果你的网站由于不安全内容产生安全错误时,请将所有url都用https,而不是http。
版权声明:本文著作权归原作者所有,欢迎分享本文,谢谢支持!
转载请注明:屏蔽混合内容 | 文档
分类:安卓V268 标签:

评论已关闭!