谷歌安全博客发文称，为了增强下载防护体会，Chrome浏览器将开端阻挠非“安全超文本传输协议”的混合内容下载。作为上一年宣告的一项方案的连续，Chrome将开端阻挠“安全页面”上的一切“非安全子资源”的触摸。鉴于不安全的文件下载会要挟到用户的安全与隐私，此事的确值得推动。

(来自：GoogleSecurityBlog)

比方，攻击者可阻拦不安全的下载地址，将程序替换成歹意软件、乃至拜访更多的灵敏信息。为管控这些风险，谷歌终究仍是决议撤销对不安全下载的支撑。

初期，Chrome将屏蔽始于安全页面的不安全下载。这种状况特别让人忧虑，由于Chrome当时无法向用户标明其隐私和安全遭到要挟。

从2020年4月的Chrome82开端，谷歌浏览器将逐渐放出正告、直至终究阻挠这类混合内瓤的下载。

对用户构成最大风险的文件类型(可执行文件)将首要遭到影响，后续版别将掩盖更多的文件类型。

逐渐推出的意图，旨在快速缓解最严峻的风险，为开发人员供给更新其站的缓冲时刻，并最大程度地削减Chrome用户有必要看到的正告数量。

谷歌方案首要在Windows、macOS、ChromeOS和Linux桌面渠道上推出对混合内容下载的约束，下面是Chrome团队的方案组织：

Chrome81(2020年3月)：浏览器会蹦出一条控制台音讯，正告一切混合内容的下载;

Chrome82(2020年4月)：浏览器将正告(.exe等可执行文件)的混合内容下载;

Chrome83(2020年6月)：正告.zip档案和.iso磁盘映像混合内容的下载;

Chrome84(2020年8月)：正告除图片、音视频、文本之外的混合内容的下载;

Chrome85(2020年9月)：正告图画、音视频和文本类混合内容的下载;

Chrome86(2020年10月)：阻挠一切类型混合内容的下载。

a

至于Android和iOS移动渠道，谷歌会将相关方针推延一个版别，从Chrome83开端宣布正告。

鉴于移动渠道具有更好的抵挡歹意文件的本机防护功用，留出的时刻差，使得开发者有机会在用户遇到问题前，对自家移动站进行更新。

此外在当时版别的ChromeCanary或Chrome81中，开发者可启用“将不安全的衔接视作风险的混合内容下载”来激活相关正告。

chrome：//flags/#treat-unsafe-downloads-as-active-content

企业和教育客户可通过现有的每个站点来阻挠，在InsecureContentAllowedForUrls中增加与恳求下载页面匹配的形式来施行相关战略。

文章来自:软文ruanwen.tingclouds