通过HTTP明文协议提交表单有泄露风险 谷歌浏览器将默认阻止此类行为
在谷歌和谋智基金会等推动下目前全网 HTTPS 流量已经占据主流 , 多数网站已经启用HTTPS加密安全连接协议。
在这种情况下谷歌浏览器正在加强安全管理,对混合加密连接的网页和内容施加更多限制以确保数据不会被泄露。
例如已经启用加密连接的网页如果下载HTTP连接的文件则会被阻止 , 试图加载HTTP音视频或图片同样会被阻止。
图片来自Techdows
谷歌浏览器金丝雀最新版中新增的安全选项是阻止不安全的表单控件,该功能旨在防止用户提交的内容遭到窃取。
所谓表单主要指的是某些网页可能要求用户填写某些资料,例如信用卡申请页面需要提供身份证号和地址等信息。
这类信息本身非常私密因此如果遭到窃取的话可能会有严重后果,基于这方面考虑谷歌浏览器认为需要加强管理。
当网页本身是HTTPS连接的但表单内容却是以HTTP提交的话 ,则谷歌浏览器检测到后会直接阻止用户提交资料。
尤其是在某些电商购物网站上用户填写信用卡卡号 , 有效期、CVV2等信息时如果以HTTP协议提交会有安全风险。
目前上述功能还在测试中并未推送到稳定版通道,当前算是给网站管理员和开发者提醒需要加强表单的安全管理。
管理员和开发者们可以通过chrome://flags/#mixed-forms-disable-autofill 开启该选项后进行测试和安全调整。
后续如果仍然以不安全的明文协议提交用户资料的话,谷歌浏览器会在前台页面直接显示警告阻止用户提交资料。
这可能会对网站的声誉和转化率产生影响,因此基于安全考虑开发者、运营者和管理员等都应该及时跟进和调整。