在 Firefox 中阻止混合内容

Firefox 会通过阻止潜在有害和不安全的网页内容(本来应该是安全的)来保护你免受攻击。请继续阅读以了解更多关于混合内容的知识以及如何辨别 Firefox 何时会阻止它。

混合内容是什么?有何风险?

HTTP 是一种从网页服务器将信息传递到您的浏览器的系统。HTTP 并不是安全的,所以当您访问一个通过 HTTP 提供的页面时,您的连接正面临窃听和 中间人 攻击的风险。大多数网站都使用 HTTP 提供服务,因为它们不涉及敏感信息的传输,因而无需采取加密措施。

当您访问一个完全通过 HTTPS 提供的页面时(例如银行服务),您将看到地址栏中有个挂锁图标 Fx70GreyPadlockFx89Padlock(详见 站点标识按钮)。这表示您的连接经过身份验证和加密,从而防止窃听和中间人攻击。

但是,如果您访问的 HTTPS 页面中含有 HTTP 内容,即使页面主体内容以 HTTPS 提供,HTTP 的部分仍然可被攻击者读取和篡改。当某个 HTTPS 页面含有 HTTP 内容时,我们称它为“混合内容”。这种页面仅被部分加密,尽管有些人认为这样是安全的,但事实并非如此。更多关于混合内容(主动和被动)的信息,请参看该博客。

混合内容有什么风险?攻击者可以替换您访问页面中的 HTTP 内容,从而使他们可以窃取您的身份凭据、使用您的账户、获取您的敏感数据,以及在您的计算机上安装恶意软件。

如何分辨网页是否有混合内容?

有两种混合内容:被动/显示性混合内容和主动混合内容。它们的不同在于其危险性。查看地址栏中的锁形图标可以看出网页是否有混合内容。

FF70 Gray PadlockFx89AddressBarPadlock

注意:地址栏的盾形图标 Address bar shieldFx89ShieldIcon 告诉你网站的哪个跟踪器被拦截。请参看 Firefox 桌面版的增强跟踪保护 了解更多内容。

无混合内容:安全

  • Gray padlock - Firefox 70Fx89Padlock :当网页完全安全(HTTPS)时,你会看到一个灰色锁形。要查看 Firefox 是否阻止了页面的不安全内容,请点击灰色锁形图标。更多信息,参看下面 不阻止混合内容 部分。

混合内容未被阻止:不安全

  • unblocked mixed content 42Fx89Padlock-RedLine:如果图标是带有红线的锁形,那么该网页包含主动混合内容,而且 Firefox 并没有阻止不安全的元素。该网页暴露在窃听和攻击之下,你的网页隐私数据可能被偷盗。除非你用下节介绍的方法阻止了混合内容,你不应该在完全安全(HTTPS)的网站上看到这个图标。注意:带有红色划线的挂锁还会出现在不加密(HTTP)的网站上。
  • orange triangle grey lock 42Fx89Padlock-Triangle:如果图标是带有三角形的锁形,那么说明 Firefox 没有阻止被动的不安全内容,比如图片。默认时,Firefox不会阻止被动混合内容;你只会看到页面内容不安全的警告。攻击者可能会操纵部分网页内容,比如,显示误导或不适的内容,但是他们应该无法从该网页盗取你的个人数据。

更多关于主动和被动混合内容的信息,请参看此 Mozilla 开发者网络文章

不阻止混合内容

我们不建议不阻止不安全的元素,但是如果必要的话,你可以通过以下步骤做到:

  1. 点击地址栏的锁形图标 Fx70GreyPadlockFx89Padlock
  2. 点击 网站信息 面板上的箭头:
    Mixed Content FF70Fx87MixedContentFx89MixedContent
  3. 点击 暂时解除保护
    Disable Protection FF70 Fx87MixedContent-UnblockFx89MixedContent-Unblock

要重新保护,请按以上步骤然后点击 启用保护

警告: 不阻止不安全的内容将使你暴露于攻击之下。
开发者: 如果你的网页由于不安全内容而报错时,请查看此 MDN 文章 如何修复带有混合内容的网站

这篇文章对您有帮助吗?

请稍候...

此文章在这些用户的协助下写成:

Illustration of hands

志愿者

分享知识并培养专业技能。解答问题并改进我们的知识库。

详细了解