在 Firefox 的夜间构建中,Firefox 5 版本将于 76 月 XNUMX 日发布,在此基础上, 可选的 “HTTPS Only”操作,启用后,所有未加密的请求将自动重定向到安全页面版本(“http://” 到“https://”)。要启用该模式,“dom.security.https_only_mode”设置已添加到 about:config。
替换将在页面加载的资源级别和在地址栏中输入时进行。新政权决定 默认情况下使用“http://”打开页面,无法更改此行为。尽管在浏览器中推广 HTTPS 做了很多工作,但在地址栏中键入域名而不指定协议时,默认情况下仍然继续使用“http://”。建议的设置更改了此行为,并且当从“http://”明确输入地址时,还可以自动替换为“https://”。
如果通过 https:// 访问主页面(在地址栏中输入域名)超时,用户将看到一个错误页面,其中包含一个通过 http:// 发出请求的按钮。如果在页面处理过程中通过“https://”加载子资源时出现加载失败的情况,此类失败将被忽略,但会在 Web 控制台中显示警告,可以通过 Web 开发者工具查看。
在 Chrome 中也 阻止未受保护的子资源加载。例如,在 Chrome 81 的发布中,预计将激活一种新的防止下载混合多媒体内容的保护模式(当使用 http:// 协议加载 HTTPS 页面上的资源时)。通过 HTTPS 打开的页面在加载图像时会自动将“http://”链接替换为“https://”(Chrome 80 添加了脚本、iframe、音频和视频文件的替换)。在 Chrome 的未来版本中 转换为阻止通过 HTTP 下载文件。
来源: opennet.ru