谷歌Chrome的“混合内容”更新将会影响电商网站,自建站卖家如何应对?

据悉,谷歌Chrome已于10月7日宣布了可能影响电子商务网站的重要更改。

这些更改解决了网页上的“Mixed Content”(混合内容)问题。除了文本之外,典型的web页面还包括图像、音频文件和视频。额外的非文本资源通常作为HTTP请求而不是HTTPS加载。HTTP请求会造成安全风险,谷歌的目标是在即将到来的更改中纠正这一风险。

Chrome 77是目前较稳定的版本。更改将在三个月内进行,如下所示。

(1)2019年12月,Chrome 79版本将提供用户设置以覆盖Chrome 80和81的默认更改,这两个版本计划在2020年1月和2月发布。

(2)2020年1月,Chrome 80将强制升级音频和视频资源以使用HTTPS。如果未将其作为HTTPS加载,Chrome将阻止他们。用户可以使用在Chrome 79中引入的设置取消阻止,但是导航栏仍会针对不安全的资源显示“不安全”警告。

(3)2020年2月,Chrome 81将强制升级图片至HTTPS。如果未以HTTPS的方式加载,Chrome将会阻止它们,同样,用户也可以解除阻止。

建议卖家请遵循以下步骤,以确保这些更改不会影响你未来的电子商务销售。

1、检测混合内容

任何网站,无论是电子商务还是其他网站,都应以HTTPS加载。

混合内容会给最终用户带来隐私和安全问题,因为它可能会将信息泄漏给潜在的攻击者。大多数浏览器会自动阻止代码执行资源,如脚本和iframe。但是图像、音频和视频仍然没有被屏蔽。这种情况将从明年1月开始改变。

Chromium博客在10月3日的帖子中解决了该问题。

“浏览器默认情况下会阻止许多类型的混合内容,如脚本和iframe,但是仍然允许加载图像、音频和视频,这将威胁到用户的隐私和安全。例如,攻击者可以篡改图表的混合图像误导投资者,或者将跟踪cookie注入混合资源负载中。加载混合内容还会导致浏览器安全UX的混乱。”

你可以检查你的网站是否有混合内容。浏览页面并在地址栏中寻找“锁定”图标。当出现混合内容时,它会更改信息图标(“i”)。

你可以通过Chrome开发者工具的“Network”标签在搜索框中输入“mixed-content”以获得混合内容资源列表。

手动检查每个电子商务网站页面是不可行的。 Screaming Frog(尖叫青蛙)、DeepCrawl(深度爬虫),或类似的网络爬虫可以代为处理这些繁杂的工作。

如果要在Screaming Frog中进行检查,请对你的网站进行爬网,然后转到Reports>Insecure Content。这一步骤将列出未安全加载的资源。

Screaming Frog和其他网络爬虫只能检查你的网站链接的页面。他们不会将商品添加到你的购物车中,也不会遵循结账渠道。为此,请手动跟踪结帐渠道,同时注意地址栏中的锁定或信息图标。

2、如何修复?

有几个方法可以修复混合内容。如果你的网站未加载来自第三方网站的图像、音频和视频,则只需将所有资源URL设为相对。例如,使用/image/product.png而不是http://www.sitestore.com/image/productA.png。相对URL将始终正确解析。

如果你在未启用HTTPS的情况下将这些资源托管在第三方站点中,请考虑制作副本,从站点加载这些资源并相应地更新链接。

另一个方法是设置web服务器以使用内容安全策略,该策略将告诉web浏览器哪些内容是允许的,哪些是不允许的。

CSP中有许多潜在的指令。在某个场景中,我们对“upgrade-insecure-requests”感兴趣。当web服务器指定该指令时,浏览器将通过HTTP响应标头强制使用HTTPS加载所有资源,如下所示:

Content-Security-Policy: upgrade-insecure-requests(内容安全策略:不安全升级请求)

最后一个方法是手动修复链接的源代码。这需要做更多的工作,但可以避免浏览器兼容性问题。

(编译/雨果网 吕晓琳)

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20191014A0AV5E00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券