什么是网站混合内容？混合内容对Chrome的重要性

您是否曾经点击某个网站，却在浏览器中看到令人恐惧的“不安全”警告？ 
这就是网站内容混合时会发生的情况——这是网站所有者经常遇到的难题，但修复起来比您想象的要容易。 

想象一下：您使用 HTTPS（也就是浏览器中显示的挂锁）构建了一个安全的网站，但网站的某些部分（可能是图片、脚本，甚至是字体）仍在通过老旧的、不安全的 HTTP 协议加载。这就像您家里安装了高科技安保系统，却有一扇窗户没有锁一样。 

Chrome 的数据渲染方式为何如此重要？作为全球最受欢迎的浏览器，Chrome 占据了相当大的网络流量份额，这意味着它如何解读和执行安全策略会直接影响到广大用户。Chrome 主动屏蔽混合内容的策略，确保了数百万台设备都能获得更一致、更安全的浏览体验。其他浏览器可能也遵循类似的做法，但 Chrome 的严格执行和广泛使用使其成为塑造网络安全标准的关键参与者。忽视 Chrome 中的混合内容问题可能会导致用户体验下降、信任度丧失，甚至可能在搜索排名中受到惩罚。 

Google Chrome 对此并不感冒，而且理由充分。自 2019 年底以来，Chrome 一直在通过屏蔽混合内容来弥补这些安全漏洞。虽然这听起来可能有些苛刻，但实际上它确实在保护您和您的访客数据安全，从而保障每个人的数据安全。 

好消息是，混合内容问题完全可以解决，而且预防效果更好。 

在本指南中，我们将详细介绍您需要了解的有关混合内容的所有内容，从识别警告信号到解决问题。无论您是网站所有者、开发者，还是仅仅对网络安全感兴趣，您都将学习一些实用步骤，以确保您的网站顺畅安全地运行。

什么是混合内容？

当您访问安全的网站 ( HTTPS ) 时，该页面上的每个元素也都应该是安全的——从图片到脚本再到样式表。当某些元素通过不安全的连接加载时，就会出现混合内容。这就像拥有一个安全系统，但留下一些未受保护的入口点。Chrome 会发现这些安全漏洞并采取措施保护用户。

两种类型的混合内容

被动混合内容

这些元素包括图像、视频和音频文件，它们不直接与页面功能交互。虽然它们的安全风险较低，但并非无害。 

攻击者仍然可以操纵这些元素来误导用户或破坏网站的完整性。想象一下，在您不知情的情况下，产品图片或视频被替换。 

主动混合内容

事情变得严重起来。主动混合内容包括脚本、样式表和框架，它们可以与您的网页交互并更改您的网页。如果这些内容加载不安全，就会造成严重的漏洞。 
攻击者可以修改您网站的运行方式、窃取用户数据，甚至控制网页。因此，Chrome 默认会屏蔽这些元素。 

为什么重要

混合内容会产生真正的安全风险，可能会影响您的网站和用户： 

• 攻击者可以拦截并查看您的网站和访问者之间传输的数据。 

• 恶意行为者可以在您不知情的情况下修改您的内容。 

• 安全警告可能会赶走访客并损害信任。 

• 搜索引擎可能会出于安全考虑降低您网站的排名。 

Chrome 对混合内容的严格立场不仅仅是为了遵守规则，而是为了保护用户并维护安全网络的完整性。 
修复混合内容问题不再是可有可无的，而是维护网站安全、值得访客信赖的必要措施。

Chrome 为何会屏蔽我的网站的部分内容？ 

Chrome 会屏蔽混合内容，以保护您和您的访客。当您网站的某些部分通过不安全的连接加载时，就会产生安全漏洞，黑客可能会利用这些漏洞。 

这些安全问题会影响我的搜索排名吗？ 

是的——Google 会优先显示搜索结果中安全的网站。内容混乱的问题会降低您的网站排名，使人们更难找到您的网站。

浏览器警告 

不同的浏览器对混合内容的处理方式不同。 

• Chrome 显示“不安全”警告。 

• Firefox 和 Edge 有自己的提醒用户的方式。 

这些警告不仅令人厌烦，还会让访问者对您的网站产生怀疑，尤其是在他们即将输入敏感信息时。 
请记住，发现混合内容只是第一步。一旦您知道问题所在，就可以通过将旧的 HTTP 链接更新为 HTTPS 或为有问题的资源寻找安全的替代方案来开始修复它们。 

Chrome 如何处理混合内容 

Chrome 非常重视网站安全。多年来，它已从仅仅警告用户安全风险转变为通过屏蔽不安全内容来主动保护用户。这一转变也凸显了网络安全在当今数字世界中日益增长的重要性。 

Chrome 的安全方法 

阻止危险内容

自 2019 年末（Chrome 79）起，Chrome 会自动阻止试图通过不安全连接加载的潜在危险元素，例如脚本和框架。这有助于保护用户免受恶意攻击，而无需用户费心。 

智能内容升级

当 Chrome 发现图片或音频文件试图以不安全的方式加载时，它会首先检查是否存在安全版本。如果找到，它会自动使用该版本。如果没有找到，它会屏蔽相关内容，以确保用户安全。 

预警系统

Chrome 会在地址栏中显示“不安全”警告，以此来明确安全问题。虽然您可以在设置中覆盖这些阻止，但这就像禁用汽车安全气囊一样——技术上可行，但并非明智之举。 

展望未来

Chrome 计划最终屏蔽所有不安全的内容。这意味着网站所有者需要立即更新其网站，而不是等到内容停止运行。Google 
希望通过HTTPS 让整个网络更加安全。这不仅仅关乎安全，更在于创建一个让人们可以安心浏览、知道自己信息受到保护的网络。 

让安全值得

• 安全的网站在搜索结果中排名更高。 

• 定期更新不断提高保护效果。 

• 清晰的工具可帮助开发人员构建更安全的网站。 

• 警告系统帮助用户做出明智的选择。 

这些变化反映了网络安全如何从可有可无的事物演变为互联网体验的重要组成部分。

如何识别混合内容错误 

只要采取正确的方法，就能轻松发现网站上的混合内容问题。让我们探索发现这些安全漏洞的最有效方法。 

使用 Chrome 的开发者工具

最简单的开始方式是使用 Chrome 的内置开发者工具： 

• 右键单击页面上的任意位置并选择“检查”。

• 导航到控制台选项卡。 

• 查找以红色（主动内容）或黄色（被动内容）突出显示的警告。 

常见问题区域

混合内容通常出现在几个关键位置： 

• 使用旧 HTTP 链接的 图像和媒体文件。

• 第三方脚本和资源。 

• 嵌入到您的页面中的 外部内容。

• 带有硬编码 HTTP 引用的CSS 文件。 

• 插件设置和配置。 

自动化解决方案

对于较大的网站，有几种工具可以帮助简化流程： 

WordPress 专用工具

• SSL 不安全内容修复程序插件用于自动检测和修复。 

• 真正简单的 SSL，用于全面扫描。 

通用网站工具

• JitBit 扫描仪（最多 400 页免费）。 

• Google Search Console用于站点范围的安全监控。 

• Screaming Frog进行详细的内容分析。 

请记住，发现混合内容只是第一步——最终目标是为访客打造完全安全的浏览体验。定期监控并及时修复任何安全问题，有助于维护网站的完整性和用户信任。 

修复网站上的混合内容错误 

消除混合内容错误似乎很难，但只要采取系统性的方法，就能有效地保护您的网站。以下是如何一次性做好这件事。 

初步清理

查找和更新链接

扫描您网站的代码中的 HTTP 链接，将所有链接更新为它们的 HTTPS 版本，使用数据库搜索和替换工具来存储链接，并检查主题文件和模板中的硬编码 HTTP 链接。 

外部内容审核

审核所有第三方资源，验证外部服务的 HTTPS 可用性，替换或删除不支持 HTTPS 的资源，并考虑自行托管关键外部内容。 

执行

设置保护

在您的服务器上启用 HTTPS 重定向，实现安全标头（包括 CSP），在适当的情况下转换为相对 URL，并配置自动 HTTPS 实施。 

质量保证

修改后，请测试所有页面，验证不同浏览器的功能，监控安全日志和设置，并定期进行安全扫描。 
请记住，虽然存在临时修复措施，但投入时间正确实施 HTTPS 就像安装一个良好的安全系统——一次做好，就能长期安心无虞。 

如何在 Chrome 中允许混合内容进行测试 

测试网站时遇到混合内容拦截？以下是如何暂时绕过 Chrome 安全措施的方法——但请记住，此方法仅用于测试，请勿在实际网站上使用。 

快速测试步骤 

在 Chrome 的地址栏中

1. 单击您网站网址旁边的锁定（或警告）图标。 

2. 查找“站点设置”并单击它。 

3. 在设置列表中找到“不安全的内容”。 

4. 从“阻止”切换到“允许”。 

5. 刷新页面即可查看更改。 

警告 

允许混合内容本质上就是告诉 Chrome，“我知道自己在做什么”，但它也伴随着风险——不仅仅是对于您自己的网站，而且对于您在测试期间可能访问的其他网站。 

这类似于为了检查线路而暂时关闭家里的安防系统。虽然维护时这样做或许有用，但你肯定不想无限期地把它关闭。 

您可能会想：“我可以直接覆盖 Chrome 的安全阻止吗？” 
虽然可以通过 Chrome 设置暂时允许混合内容，但这就像不锁门一样——一时方便，但长远来看却存在风险。与其依赖临时解决方法，不如始终从根本上解决混合内容问题，并实施永久性修复，以确保您的网站安全。 

更好的选择 

不要允许混合内容，请考虑： 

• 使用可以安全测试的开发环境。 

• 设置适当的SSL 证书以进行测试。 

• 使用 Chrome 的开发者工具在混合内容成为问题之前将其识别出来。 

请记住，这只是为了测试和调试。对于您的实时网站，请务必确保所有内容都通过 HTTPS 安全加载，以保护您的访客并维护他们的信任。

未来预防混合内容的最佳实践 

没人愿意反复处理混合内容问题。以下是如何保持领先地位并确保网站长期安全的方法。 

明智的托管选择

您的托管服务提供商在网站安全方面发挥着至关重要的作用。请寻找那些重视安全性、提供自动 SSL 强制执行服务的主机提供商。 

这意味着他们将承担大部分保障您内容安全的繁重工作，为您节省时间并避免日后的麻烦。 

添加额外的安全层

将内容安全策略 (CSP) 标头视为您网站的安全卫士。 

他们站在入口处，检查试图加载到您网站的每条内容，确保其通过安全渠道传输。 

最初设置这些可能需要一点时间，但它们将为您节省以后无数小时的故障排除时间。

定期检查

就像汽车需要定期保养一样，您的网站也需要定期检查。 
使用 Google Search Console 等工具可以及早发现潜在问题。您可以 
将其视为预防良药——在小问题演变成大问题之前发现并修复它们。 
根据您网站的更新频率，制定定期的安全审核计划，例如每月或每季度一次。 
请记住，网站安全并非一次性完成的任务，而是一个持续的过程。但通过这些实践，您可以减少解决问题的时间，将更多时间投入到更重要的事情上：运营您的网站。 

最后的想法：保护您的网站免受混合内容的侵害 

混合内容问题不仅仅是技术故障，更是网站安全性的重要信号。随着 Chrome 等浏览器不断强化安全措施，对于任何网站所有者来说，掌握这些问题都变得越来越重要。好消息是，一旦您更新了旧的 HTTP 链接、切换到安全的第三方服务并设置了适当的 HTTPS 强制执行，您的网站就离更安全的目标又近了一步。 
这相当于给您的网站进行了一次安全升级——保护访客、维护他们的信任，甚至提升您的搜索排名。请记住，网络安全不是一次性的修复，而是一项持续的承诺。定期检查并了解最佳安全实践，将确保您的网站在不断发展的数字环境中顺畅安全地运行。 
即使访客没有注意到后台发生的所有工作，他们也会享受到安全的体验。