据悉,谷歌Chrome已于10月7日宣布了可能影响电子商务网站的重要更改。
这些更改解决了网页上的“Mixed Content”(混合内容)问题。除了文本之外,典型的web页面还包括图像、音频文件和视频。额外的非文本资源通常作为HTTP请求而不是HTTPS加载。HTTP请求会造成安全风险,谷歌的目标是在即将到来的更改中纠正这一风险。
Chrome 77是目前较稳定的版本。更改将在三个月内进行,如下所示。
(1)2019年12月,Chrome 79版本将提供用户设置以覆盖Chrome 80和81的默认更改,这两个版本计划在2020年1月和2月发布。
(2)2020年1月,Chrome 80将强制升级音频和视频资源以使用HTTPS。如果未将其作为HTTPS加载,Chrome将阻止他们。用户可以使用在Chrome 79中引入的设置取消阻止,但是导航栏仍会针对不安全的资源显示“不安全”警告。
(3)2020年2月,Chrome 81将强制升级图片至HTTPS。如果未以HTTPS的方式加载,Chrome将会阻止它们,同样,用户也可以解除阻止。
建议卖家请遵循以下步骤,以确保这些更改不会影响你未来的电子商务销售。
1、检测混合内容
任何网站,无论是电子商务还是其他网站,都应以HTTPS加载。
混合内容会给最终用户带来隐私和安全问题,因为它可能会将信息泄漏给潜在的攻击者。大多数浏览器会自动阻止代码执行资源,如脚本和iframe。但是图像、音频和视频仍然没有被屏蔽。这种情况将从明年1月开始改变。
Chromium博客在10月3日的帖子中解决了该问题。
“浏览器默认情况下会阻止许多类型的混合内容,如脚本和iframe,但是仍然允许加载图像、音频和视频,这将威胁到用户的隐私和安全。例如,攻击者可以篡改图表的混合图像误导投资者,或者将跟踪cookie注入混合资源负载中。加载混合内容还会导致浏览器安全UX的混乱。”
你可以检查你的网站是否有混合内容。浏览页面并在地址栏中寻找“锁定”图标。当出现混合内容时,它会更改信息图标(“i”)。
你可以通过Chrome开发者工具的“Network”标签在搜索框中输入“mixed-content”以获得混合内容资源列表。
手动检查每个电子商务网站页面是不可行的。 Screaming Frog(尖叫青蛙)、DeepCrawl(深度爬虫),或类似的网络爬虫可以代为处理这些繁杂的工作。
如果要在Screaming Frog中进行检查,请对你的网站进行爬网,然后转到Reports>Insecure Content。这一步骤将列出未安全加载的资源。
Screaming Frog和其他网络爬虫只能检查你的网站链接的页面。他们不会将商品添加到你的购物车中,也不会遵循结账渠道。为此,请手动跟踪结帐渠道,同时注意地址栏中的锁定或信息图标。
2、如何修复?
有几个方法可以修复混合内容。如果你的网站未加载来自第三方网站的图像、音频和视频,则只需将所有资源URL设为相对。例如,使用/image/product.png而不是http://www.sitestore.com/image/productA.png。相对URL将始终正确解析。
如果你在未启用HTTPS的情况下将这些资源托管在第三方站点中,请考虑制作副本,从站点加载这些资源并相应地更新链接。
另一个方法是设置web服务器以使用内容安全策略,该策略将告诉web浏览器哪些内容是允许的,哪些是不允许的。
CSP中有许多潜在的指令。在某个场景中,我们对“upgrade-insecure-requests”感兴趣。当web服务器指定该指令时,浏览器将通过HTTP响应标头强制使用HTTPS加载所有资源,如下所示:
Content-Security-Policy: upgrade-insecure-requests(内容安全策略:不安全升级请求)
最后一个方法是手动修复链接的源代码。这需要做更多的工作,但可以避免浏览器兼容性问题。
(编译/雨果网 吕晓琳)
【特别声明】未经许可同意,任何个人或组织不得复制、转载、或以其他方式使用本网站内容。转载请联系:editor@cifnews.com
扫一扫
2751
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
