Google Chrome将阻止混合内容下载

2020年2月6日，谷歌在 Chromium 博客中宣布，Chrome 将逐步确保安全（HTTPS）页面仅能下载安全的文件。将开始阻止“混合内容下载”（在安全（HTTPS）页面上下载非HTTPS内容）。该计划是去年宣布的阻止安全页面上所有不安全资源计划的一部分。

不安全的文件下载会威胁用户的安全和隐私。例如，攻击者可以将下载不安全（非HTTPS传输）的程序替换为恶意软件，窃听者可以读取用户下载不安全的银行对帐单。

从 Chrome 82（将于2020年4月发布）开始，Chrome 将逐渐开始警告并随后阻止这些混合内容下载。对用户构成最大风险的文件类型（例如，可执行文件）将首先受到影响，随后的版本将覆盖更多文件类型。这种逐步推出的目的是快速缓解最严重的风险，为开发人员提供机会更新网站，并最大程度地减少 Chrome 用户看到的警告数量。

首先在桌面平台（Windows，macOS，Chrome OS和Linux）上推出对混合内容下载的限制。针对台式机平台的计划如下：

在Chrome 81 （于2020年3月发布）和更高版本中：

Chrome浏览器会打印一条控制台消息，警告所有混合内容下载。

在Chrome 82（于2020年4月发布）中：

Chrome浏览器会警告可执行文件（例如.exe）的混合内容下载。

在Chrome 83（于2020年6月发布）中：

Chrome浏览器将阻止混合内容的可执行文件。
Chrome会警告混合内容档案（.zip）和磁盘映像（.iso）。

在Chrome 84（于2020年8月发布）中：

Chrome浏览器将阻止混合内容的可执行文件，归档文件和磁盘映像。
Chrome浏览器会警告所有其他混合内容下载，但图片，音频，视频和文本格式除外。

在Chrome 85（于2020年9月发布）中：

Chrome浏览器会警告您下载图像，音频，视频和文本的混合内容。
Chrome浏览器将阻止所有其他混合内容下载。

在Chrome 82（于2020年4月发布）中：

Chrome浏览器会警告可执行文件（例如.exe）的混合内容下载。

在Chrome 86（2020年10月发布）及更高版本中：

Chrome将阻止所有混合内容下载。

Chrome会将Android和iOS用户的发布推迟一个版本，并开始在Chrome 83中发出警告。移动平台具有更好的本机保护，可抵御恶意文件，这种延迟将使开发人员在影响其移动用户之前先开始更新其网站。

通过确保下载仅使用HTTPS，开发人员可以防止用户看到下载警告。在当前版本的Chrome Canary或发布的Chrome 81中，开发人员可以通过启用 chrome//flags/上的 “通过不安全的连接将危险下载视为活动的混合内容”来激活警告，以进行测试。＃treat-unsafe-downloads-as-active-content。