谷歌浏览器正在开发HTTPS-Only模式 阻止访问HTTP页面
HTTPS-Only 模式最初是电子前哨基金会推出的 HTTPS Everywhere 中带来的,旨在自动阻止浏览器加载 HTTP 连接,确保所有链接只有是 HTTPS 才能加载。
后来火狐浏览器也集成了 HTTPS-Only 模式,如果用户主动开启该模式则所有 HTTP 连接都无法访问。
现在 Chrome 也开始测试这个功能,在 Chrome Canary 版中出现 “一律升级安全连接” 的选项,该选项默认也没有开启,需要用户自己开启。
根据谷歌工程师的说明,开启此功能后有三种不同的场景:
- 带有下载链接的页面不安全
- 使用的最终 URL 不安全
- 任何重定向都是不安全的
此选项用来阻止混合下载行为,也就是页面是 HTTPS 连接的,但下载地址是 HTTP 的,实际上这种混合下载行为在 Chrome 中已经默认阻止,只不过用户复制 HTTP 连接直接在地址栏中粘贴依然可以下载。
新的行为则是会在用户下载时弹出安全提醒,除非用户忽略提醒否则将阻止下载。至于情况就是上面那三种情况,在三种场景里都会弹出警告提示,提醒用户这是 HTTP 下载不安全可能会被劫持。
目前在 Chrome Canary 版中这个功能倒是可以启用但尚未生效,估计还没开发好。