最后更新于:
1 周前
Firefox 会通过阻止潜在有害和不安全的网页内容(本来应该是安全的)来保护你免受攻击。请继续阅读以了解更多关于混合内容的知识以及如何辨别 Firefox 何时会阻止它。
混合内容是什么?有何风险?
HTTP 是一种用于将网页服务器上的信息传递到用户浏览器的通信协议。然而,HTTP 并不具备安全性,这意味着当您访问通过 HTTP 提供的网页时,您的连接可能会被窃听,甚至遭受中间人 攻击。尽管如此,许多网站仍然使用 HTTP 提供服务,因为它们主要涉及非敏感信息的传输,因此无需采用加密措施。
当您访问一个完全通过 HTTPS 提供的页面时(例如银行服务),您将看到地址栏中有个 挂锁图标 
盾形图标 (详见 站点标识按钮)。这表示您的连接经过身份验证和加密,从而防止窃听和中间人攻击。
然而,如果一个通过 HTTPS 加载的页面中嵌入了 HTTP 内容,即便页面的主体部分是通过 HTTPS 提供的,这些 HTTP 内容仍然可能被攻击者读取或篡改。当一个 HTTPS 页面中包含 HTTP 内容时,这种情况被称为“混合内容”。这种页面仅实现了部分加密,尽管一些人可能误以为这样的页面是安全的,但实际上并非如此。更多关于混合内容(包括主动混合内容和被动混合内容)的详细信息,请参看该博客。
如何分辨网页是否有混合内容?
混合内容主要分为两种类型:被动混合内容(也称为显示性混合内容)和主动混合内容。这两种类型的混合内容在危险程度上有所区别。通过查看浏览器地址栏中的 挂锁盾形图标,您可以判断网页是否存在混合内容。
无混合内容:安全
- 当网页完全安全(HTTPS)时,你会看到一个锁形。要查看 Firefox 是否阻止了页面的不安全内容,请点击锁形图标。更多信息,参看下面 不阻止混合内容 部分。
- 当网页完全安全(HTTPS)时,你会看到这个盾形图标。要查看 Firefox 是否阻止了页面的不安全内容,请点击盾形图标。
混合内容未被阻止:不安全
- 如果地址栏中的挂锁图标带有红线,说明该网页含有主动混合内容。这表明 Firefox 没有阻止不安全的元素。该网页可能面临窃听和攻击,您的隐私数据可能被泄露。除非您已按照下面 不阻止混合内容 部分的说明操作,否则您不应在完全安全(HTTPS)的网站上看到此图标。注意:带有红色划线的挂锁还会出现在不加密(HTTP)的网站上。
- 如果盾形图标带有红线,说明该网页含有主动混合内容,并且 Firefox 没有阻止不安全的元素。该网页可能面临窃听和攻击,您的隐私数据可能被泄露。您不应在安全(HTTPS)的网站上看到此图标。注意:带有红色划线的盾形图标也会出现在不加密(HTTP)的网站上。
Firefox 会尽可能地将来源从 http 修改为 https,从而自动升级不安全的被动内容(如图片)。 如果该不安全内容无法升级,则会被阻止。更多关于主动和被动混合内容的信息,请参看这篇 MDN Web Docs 文章。
不阻止混合内容
虽然我们不建议允许不安全的元素,但如果确实需要,您可以通过以下步骤来实现:
- 点击地址栏的锁形图标 。
- 点击 网站信息 面板上的箭头:
- 点击 。
要重新保护,请按以上步骤然后点击 。
