文档章节

Mixed Content: 混合被动/显示内容和混合活动内容

laudukang
 laudukang
发布于 2016/08/11 16:38
字数 805
阅读 211
收藏 0

chrome

Mixed Content: The page at 'https://xxx.domain.me' was loaded over HTTPS, 
but requested an insecure XMLHttpRequest endpoint 'http://xxx.domain.me/js/jquery.min.js'.
 This request has been blocked; the content must be served over HTTPS.

firefox

已阻止载入混合活动内容“http://xxx.domain.me/js/jquery.min.js”

 

以下内容摘自:Firefox混合内容

混合内容的类型

主要有两种类型的混合内容:混合被动/显示内容混合活动内容。区别在于最坏情况的危险级别,假如内容重写是中间人攻击的一部分。在被动内容的情况下,威胁很低(网页可能出现损坏或误导性的内容)。在活动内容的情况下,威胁会导致网络钓鱼、敏感数据披露,重定向到恶意网站,等等。

混合被动/显示内容

混合的被动/显示内容是:使用HTTP的内容包含在一个HTTPS页面内,但它不能改变网页的其他部分。例如,攻击者可以用一个不适当的图像或消息 替换网页中一个使用HTTP的图像。攻击者也可以通过提供给用户的图像推断出用户的活动状况;某些图像往往只会在一个网站的一个特定页面上。如果攻击者观 察到用户以HTTP请求这些图像,他就可以确定用户正在访问哪些网页。

被动内容列表

本节列出了所有类型的HTTP请求被认为是被动的内容:

  • <audio> (src attribute)
  • <img> (src attribute)
  • <video> (src attribute)
  • <object> subresources (when an <object> performs HTTP requests)

混合活动内容

混合活动内容是:访问全部或部分HTTPS页面文档对象模型的内容。这种类型的混合内容可以改变HTTPS页面的行为并可能向用户窃取敏感数据。因此,除了上述混合显示内容所描述的风险,混合活动内容还很容易受到其他一些攻击向量的攻击。

在混合活动内容情况下,中间人攻击者可以拦截HTTP请求的内容。攻击者也可以重写响应来包含恶意的JavaScript代码。恶意的活动内容可以窃取用户的凭据,获得关于用户的敏感数据,甚至在用户的系统上安装恶意软件(例如,通过浏览器漏洞或插件)。

混合内容的风险取决于用户访问网站的类型和网站数据暴漏的的敏感程度。网页可能有公共访问数据或需有通过身份验证的私有数据。如果网页是公开的并且 没有关于用户的敏感数据,使用混合活动内容仍可能为攻击者提供将用户重定向到其他HTTP页面并从那些网站上窃取HTTP cookie的机会。

活动内容列表

本节列出了一些类型的被认为是活动内容的HTTP请求:

 

附:

解决您博客的混合内容问题 

© 著作权归作者所有

共有 人打赏支持
laudukang

laudukang

粉丝 80
博文 10
码字总数 5234
作品 0
深圳
程序员
私信 提问
在浏览器里启用混合内容

原文同步至 本文介绍了在浏览器里什么是混合内容,为什么要禁用混合内容,以及在各种浏览器里面如何启用混合内容。 什么是混合内容 HTTP 是一种从网页服务器将信息传递到您的浏览器的系统。H...

waylau
2016/05/30
614
0
Chrome 正在进行将混合内容自动更新成 HTTPS 的实验

谷歌的工程师们正在寻找一个解决 HTTPS 混合内容(mixed content)错误的方法,他们现在似乎有了正确的想法…… Chrome 团队将在这周进行一项实验,试图给 Mozilla 去年也试图解决的 HTTPS ...

段段段落
02/15
0
0
史上最全WebView使用,附送Html5Activity一份

原文地址http://www.jianshu.com/p/3fcf8ba18d7f WebView在现在的项目中使用的频率应该还是非常高的。 我个人总觉得HTML5是一种趋势。找了一些东西,在此总结。 本篇最后有一个非常不错 的 ...

qq_27489007
2017/04/07
0
0
从Chrome源码看浏览器如何加载资源

对浏览器加载资源有很多不确定性,例如: css/font的资源的优化级会比img高,资源的优化级是怎么确定的呢? 资源优先级又是如何影响加载的先后顺序的? 有几种情况可能会导致资源被阻止加载?...

人人网FED
2017/10/29
0
0
推荐系统初学者系列(4)-- 混合推荐机制

上一篇: 推荐系统初学者系列(3)– 隐语义模型(LFM)与矩阵分解模型 目录 混合推荐机制 在现行的 Web 站点上的推荐往往都不是单纯只采用了某一种推荐的机制和策略,他们往往是将多个方法混...

dooonald
2018/05/13
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Kafka入门

1、Kafka使用背景 在我们大量使用分布式数据库、分布式计算集群的时候,是否会遇到这样的一些问题: 我们想分析下用户行为(pageviews),以便我们设计出更好的广告位 我想对用户的搜索关键词...

watermelon11
昨天
0
0
Cannot list resources Permission denied: user=Administrator, access=READ_EXECUTE, inode="/tmp"

Cannot list resources Permission denied: user=ÁõÎĺÁ, access=READ_EXECUTE, inode="/tmp":root:supergroup:drwx-wx-wx windows系统 Spring boot 整合hadoop时报错。 java.lang.Ille......

lwenhao
昨天
2
0
【结构型】- 享元模式

享元模式 作用:利用共享技术有效地支持大量细粒度对象的复用 享元模式状态 内部状态:在享元对象内部不随外界环境改变而改变的共享部分,存储于享元对象内部 外部状态:随着环境的改变而改变...

ZeroneLove
昨天
3
0
Vue 中使用UEditor富文本编辑器-亲测可用-vue-ueditor-wrap

一、Vue中在使用Vue CLI开发中默认没法使用UEditor 其中UEditor中也存在不少错误,再引用过程中。 但是UEditor相对还是比较好用的一个富文本编辑器。 vue-ueditor-wrap说明 Vue + UEditor + ...

tianma3798
昨天
6
0
php-fpm配置

php-fpm配置 修改bbs.wangzb.cc.conf配置文件,将端口9000改为9001,重新访问网站是失败的 修改配置文件 # vim /etc/nginx/conf.d/bbs.wangzb.cc.conf# nginx -s reloadfastcgi_pass 1...

wzb88
昨天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部