从一月份开始,如果某个网站包含密码或信用卡字段并且不是通过 https 提供服务,Chrome 将向用户表明该网站不安全。 (参见https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html)
这种情况引发了一个小问题: 当您本地运行的 Web 服务(例如家里路由器的 Web 登录页面)未使用 HTTPS 提供服务时,因为证书很可能在用户更新其软件之前过期,您的用户将看到此警告。
模拟密码字段似乎太老套了,可能会在移动设备上引起问题。
在不使用 HTTPS 为网站提供服务的情况下,有什么好的替代方案可以解决此问题?
最佳答案
您不应该认为这是一个问题,而是一个功能。
如果您在 HTTP 而不是 HTTPS 上运行服务,那么您的用户应该会收到警告。允许 Chrome 新规则有任何异常(exception)可能会导致不确定性。
网站所有者担心证书会过期这一事实并不是借口:无论如何使用证书不是更好,而是冒着收到有关过期证书的警告的风险吗?这至少是一个可以相当容易解决的可见问题。
如果新标准意味着应该警告用户有关不安全连接的信息,那么隐藏该警告就意味着该标准已被破坏,并且您提供了错误的安全感,这可能比没有安全性更糟糕。
如果您想通过未加密的连接托管页面,这取决于您,但您可能应该接受显示警告。
关于javascript - HTTP 服务页面在 Chrome 中标记为不安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40992172/