将于2017年10月17日发布的Google-Chrome 62版62版,如果页面为HTTP并包含表单,则将在URL之前显示"不安全"警告。一旦用户开始在表单字段中键入,此消息将显示。
我将在本周进行更改,以使我的网站完全https。
我下载了Chrome的Beta版本,并将其安装在计算机上。请注意,截至2017年8月,您现在可以在同一台计算机上运行多个版本的Chrome(Live/Beta/Dev/Canary),而不会出现问题。
然后,我测试了Windows 62位的Chrome 62 Beta版本。在我的测试中,当在HTTP页面上以表格键入时,我不会收到"不安全"消息。在隐身模式下,此消息还应在任何HTTP上显示。同样,我在测试时也不会收到消息。问题:在使用Chrome 62上使用Beta版时,为什么我不会收到"不安全"消息?还有其他人注意到这一点,还是我?
要查看此新警告,您将需要在Chrome隐藏设置中启用相应的选项。
-
在您的Chrome中打开此URL,以查看隐藏的铬列表设置: Chrome://flags/#Mark-non-Secure-as as 。您会看到"标记非安全起源为"设置中的非安全"行。它将具有选择"默认"选项
-
在隐身模式下或编辑后,切换到"在HTTP上警告"表格"下拉菜单中的选项
-
保存和重新启动chrome
似乎此选项的默认值现在并不意味着任何警告,但是当它在稳定分支中时,它们会更改它。我不确定为什么在Beta中不启用它。
62现在在稳定的频道中,发行说明简要提及了新的非SSL警告,但我仍然对我来说默认是不显示消息。(除非我在Chrome中手动更改它的标志://标志)
这里的答案是Chrome现场试验:
在可能的情况下,Chrome使用现场试验平台动态推出新功能。您可以将现场试验视为一组服务器控制的标志,允许Google在运行时动态更改Chrome的行为,而无需运送新版本。
通过实验证明了一项功能后,它准备向稳定频道中的用户推出。不幸的是,预发行频道的覆盖范围几乎没有我们想要的那么宽,因此,当功能首次推出以稳定时,我们必须小心。通过使用现场试验,我们可以为大量稳定用户启用新功能,同时仍然保持其稳定用户群的低比例(例如,十亿个安装中的1%== 1000万客户端)。我们一直关注遥测和用户反馈报告,以发现任何意外的问题,并且假设我们没有找到任何问题,我们可以快速将新功能推广到100%的用户。如果我们发现该功能由于任何原因不适合发货(例如,引入一些严重的错误),我们可以将其拨回0%,直到可以创建修复程序为止。
来源:https://textslashplain.com/2017/10/18/chrome-field-trials/
有关如何解决此问题的实用步骤,请查看https://www.troyhunt.com/the-6-step-happy-path-path-path-to-https/(包括CSP报告的结尾#6,我用自己来帮助切换...)
似乎Chrome团队正在推迟此更改。我认为他们不会在dev/beta频道中进行稳定版本中的默认行为。