混合内容
混合内容 是什么?
混合内容HTTPS 页面通过明文 HTTP 加载脚本、样式、图片、XHR 等子资源,从而削弱整个页面的安全保证的情况。
混合内容是指通过 HTTPS 提供的页面从不安全的 http:// URL 拉取脚本、样式表、图片、字体或 fetch 请求。其中活动混合内容(脚本、iframe、XHR)尤为危险,因为中间人攻击者可以改写响应并在安全上下文中注入代码,破坏机密性和完整性。现代浏览器默认会阻止活动混合内容,并可能自动升级或阻止图片等被动内容。防御措施包括全部资源通过 HTTPS 提供、使用绝对 https:// 链接、启用 CSP 的 upgrade-insecure-requests 指令以及通过 HSTS 强制全站 HTTPS。
● 示例
- 01
HTTPS 结账页面通过 http:// 加载第三方分析脚本,可能被劫持以窃取卡片数据。
- 02
浏览器控制台警告:"Mixed Content: 页面以 HTTPS 加载,但请求了不安全的脚本"。
● 常见问题
混合内容 是什么?
HTTPS 页面通过明文 HTTP 加载脚本、样式、图片、XHR 等子资源,从而削弱整个页面的安全保证的情况。 它属于网络安全的 应用安全 分类。
混合内容 是什么意思?
HTTPS 页面通过明文 HTTP 加载脚本、样式、图片、XHR 等子资源,从而削弱整个页面的安全保证的情况。
混合内容 是如何工作的?
混合内容是指通过 HTTPS 提供的页面从不安全的 http:// URL 拉取脚本、样式表、图片、字体或 fetch 请求。其中活动混合内容(脚本、iframe、XHR)尤为危险,因为中间人攻击者可以改写响应并在安全上下文中注入代码,破坏机密性和完整性。现代浏览器默认会阻止活动混合内容,并可能自动升级或阻止图片等被动内容。防御措施包括全部资源通过 HTTPS 提供、使用绝对 https:// 链接、启用 CSP 的 upgrade-insecure-requests 指令以及通过 HSTS 强制全站 HTTPS。
如何防御 混合内容?
针对 混合内容 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- appsec№ 214
内容安全策略 (CSP)
一种 HTTP 响应头,告诉浏览器允许加载哪些来源的脚本、样式、框架等内容,从而限制 XSS 与数据注入攻击的影响。
- network-security№ 497
HTTP 严格传输安全(HSTS)
通过 HTTP 响应头声明的 Web 安全策略,指示浏览器在指定时间内只能通过 HTTPS 访问某个域名。
- attacks№ 651
中间人攻击 (MitM)
攻击者在通信双方之间秘密转发或篡改消息,而双方均以为是在直接对话的一种攻击。
- network-security№ 1159
TLS(传输层安全)
由 IETF 标准化的加密协议,为两个联网应用之间的通信提供机密性、完整性与认证。
- appsec№ 1114
子资源完整性 (SRI)
浏览器在执行第三方加载的脚本或样式表前,先校验其加密哈希值的机制,防止被篡改的文件被运行。
- appsec№ 960
同源策略 (SOP)
浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。