当浏览器在 HTTPS(安全)页面中遇到 HTTP(不安全)资源请求时,就会出现混合内容 (Mixed Content)。 浏览器会根据混合内容的类型(主动型或被动型)采取不同的处理措施,通常包括拦截请求、自动升级协议或显示安全警告。 以下是详细的发生过程和后果: 1. 浏览器如何分类混合内容? 浏览器将不安全资源分为两类,处理方式截然不同: 主动混合内容 (Active / Scriptable Content): 定义: 可以修改页面 DOM、执行脚本或控制页面的资源。 例子: (JavaScript), (CSS), , / 请求, Flash, 字体文件。 风险: 极高。攻击者可以拦截这些 HTTP 请求,注入恶意代码,窃取用户 Cookie 或重定向页面(中间人攻击)。 被动混合内容 (Passive / Display Content): 定义: 仅用于展示,无法直接修改页面逻辑或执行代码的资源。 例子: (图片), (音频), (视频)。 风险: 较低。攻击者无法通过图片窃取密码,但可以替换图片内容(例如展示虚假广告或不雅图片),或者通过监听 HTTP 请求来推断用...
播面