在 Firefox 中阻止混合内容

Firefox 会通过阻止潜在有害和不安全的网页内容(本来应该是安全的)来保护你免受攻击。请继续阅读以了解更多关于混合内容的知识以及如何辨别 Firefox 何时会阻止它。

混合内容是什么?有何风险?

HTTP 是一种从网页服务器将信息传递到您的浏览器的系统。HTTP 并不是安全的,所以当您访问一个通过 HTTP 提供的页面时,您的连接正面临窃听和 中间人 攻击的风险。大多数网站都使用 HTTP 提供服务,因为它们不涉及敏感信息的传输,因而无需采取加密措施。

当您访问一个完全通过 HTTPS 提供的页面时(例如银行服务),您将看到地址栏中有 绿色挂锁 Fx57GreenPadlock 挂锁 Fx70GreyPadlock 图标(详见 站点标识按钮)。这表示您的连接经过身份验证和加密,从而防止窃听和中间人攻击。

但是,如果您访问的 HTTPS 页面中含有 HTTP 内容,即使页面主体内容以 HTTPS 提供,HTTP 的部分仍然可被攻击者读取和篡改。当某个 HTTPS 页面含有 HTTP 内容时,我们称它为“混合内容”。这种页面仅被部分加密,尽管有些人认为这样是安全的,但事实并非如此。更多关于混合内容(主动和被动)的信息,请参看该博客。

混合内容有什么风险?攻击者可以替换您访问页面中的 HTTP 内容,从而使他们可以窃取您的身份凭据、使用您的账户、获取您的敏感数据,以及在您的计算机上安装恶意软件。

如何分辨网页是否有混合内容?

有两种混合内容:被动/显示性混合内容和主动混合内容。它们的不同在于其危险性。查看地址栏中的锁形图标可以看出网页是否有混合内容。

FF70 Gray Padlock Fx69GreenPadlockWithShield

注意:地址栏的盾形图标 Address bar shield 告诉你网站的哪个跟踪器被拦截。请参看 Firefox 中的内容拦截增强跟踪保护 了解更多内容。

无混合内容:安全

  • Gray padlock - Firefox 70 green lock 42 :当网页完全安全(HTTPS)时,图标是灰色绿色锁形图标。要查看 Firefox 是否阻止了页面的不安全内容,请点击灰色绿色锁形图标。更多信息,参看下面 不阻止混合内容 部分。

混合内容未被阻止:不安全

  • unblocked mixed content 42 :如果图标是带有红线的锁形,那么该网页包含主动混合内容,而且 Firefox 并没有阻止不安全的元素。该网页暴露在窃听和攻击之下,你的网页隐私数据可能被偷盗。除非你用下节介绍的方法阻止了混合内容,你不应该在完全安全(HTTPS)的网站上看到这个图标。注意:带有红色划线的挂锁还会出现在不加密(HTTP 或 FTP)的网站上 不加密(HTTP)的登录页面上
  • orange triangle grey lock 42 :如果图标是带有橙色或黄色三角形的灰色锁形,那么说明 Firefox 没有阻止被动的不安全内容,比如图片。默认时,Firefox不会阻止被动混合内容;你只会看到页面内容不安全的警告。攻击者可能会操纵部分网页内容,比如,显示误导或不适的内容,但是他们应该无法从该网页盗取你的个人数据。

更多关于主动和被动混合内容的信息,请参看该Mozilla开发者网络文章

不阻止混合内容

我们不建议不阻止不安全的元素,但是如果必要的话,你可以通过以下步骤做到:

  1. 点击地址栏的锁形图标。
  2. 点击控制中心上的箭头:
    Mixed Content FF70 Fx63MixedContent
  3. 点击 暂时解除保护
    Disable Protection FF70 Fx63MixedContent-DisableProtection

要重新保护,请按以上步骤然后点击 启用保护

警告: 不阻止不安全的内容将使你暴露于攻击之下。
开发者: 如果你的网页由于不安全内容而报错时,请查看此 MDN 文章 如何修复带有混合内容的网站

这篇文章对您有帮助吗?

请稍候...

此文章在这些用户的协助下写成:

Illustration of hands

志愿者

分享知识并培养专业技能。解答问题并改进我们的知识库。

详细了解