Entry № 770
混合内容
混合内容 是什么?
混合内容HTTPS 页面通过明文 HTTP 加载脚本、样式、图片、XHR 等子资源,从而削弱整个页面的安全保证的情况。
混合内容是指通过 HTTPS 提供的页面从不安全的 http:// URL 拉取脚本、样式表、图片、字体或 fetch 请求。其中活动混合内容(脚本、iframe、XHR)尤为危险,因为中间人攻击者可以改写响应并在安全上下文中注入代码,破坏机密性和完整性。现代浏览器默认会阻止活动混合内容,并可能自动升级或阻止图片等被动内容。防御措施包括全部资源通过 HTTPS 提供、使用绝对 https:// 链接、启用 CSP 的 upgrade-insecure-requests 指令以及通过 HSTS 强制全站 HTTPS。
● 示例
- 01
HTTPS 结账页面通过 http:// 加载第三方分析脚本,可能被劫持以窃取卡片数据。
- 02
浏览器控制台警告:"Mixed Content: 页面以 HTTPS 加载,但请求了不安全的脚本"。
● 常见问题
混合内容 是什么?
HTTPS 页面通过明文 HTTP 加载脚本、样式、图片、XHR 等子资源,从而削弱整个页面的安全保证的情况。 它属于网络安全的 应用安全 分类。
混合内容 是什么意思?
HTTPS 页面通过明文 HTTP 加载脚本、样式、图片、XHR 等子资源,从而削弱整个页面的安全保证的情况。
如何防御 混合内容?
针对 混合内容 的防御通常结合技术控制与运营实践,详见上方完整定义。