Tránh cảnh báo không an toàn trong Chrome

Như đã công bố vào tháng 9, Chrome sẽ sớm đánh dấu các trang không an toàn có chứa trường nhập mật khẩuthẻ tín dụngKhông an toàn trong thanh URL.

Tài liệu này nhằm hỗ trợ Nhà phát triển web cập nhật trang web của họ để tránh cảnh báo này.

Bật cảnh báo

Cảnh báo sẽ được bật theo mặc định cho mọi người trong Chrome 56, dự kiến phát hành vào tháng 1 năm 2017.

Để kiểm thử trải nghiệm sắp tới cho người dùng trước thời điểm đó, hãy cài đặt bản dựng Google Chrome Canary mới nhất.

Để định cấu hình Chrome hiển thị cảnh báo như sẽ xuất hiện vào tháng 1 năm 2017, hãy mở chrome://flags/#mark-non-secure-as và đặt tuỳ chọn Mark non-secure origins as non-secure thành Display a verbose state when password or credit card fields are detected on an HTTP page. Sau đó, hãy chạy lại trình duyệt.

Bạn có thể xem ví dụ về hành vi cảnh báo của trình duyệt trên trang này.

Khi trạng thái Không an toàn xuất hiện, bảng điều khiển DevTools sẽ hiển thị thông báo This page includes a password or credit card input in a non-secure context. A warning has been added to the URL bar.

Ví dụ về cảnh báo trên bảng điều khiển.

Giải quyết cảnh báo

Để đảm bảo rằng cảnh báo Không an toàn không xuất hiện trên các trang của bạn, bạn phải đảm bảo rằng tất cả các biểu mẫu chứa phần tử <input type=password> và mọi dữ liệu đầu vào được phát hiện là trường thẻ tín dụng chỉ xuất hiện trên nguồn gốc an toàn. Điều này có nghĩa là trang cấp cao nhất phải là HTTPS và nếu input nằm trong một iframe, thì iframe đó cũng phải được phân phát qua HTTPS.

Nếu trang web của bạn phủ một khung đăng nhập HTTPS lên các trang HTTP...

Ví dụ về việc đăng nhập HTTPS qua HTTP.

Bạn sẽ cần thay đổi trang web để sử dụng HTTPS cho toàn bộ trang web (tốt nhất) hoặc chuyển hướng cửa sổ trình duyệt đến một trang HTTPS chứa biểu mẫu đăng nhập:

Ví dụ về việc đăng nhập HTTPS qua HTTPS.

Lâu dài – Sử dụng HTTPS ở mọi nơi

Cuối cùng, Chrome sẽ hiển thị cảnh báo Không an toàn cho tất cả trang được phân phát qua HTTP, bất kể trang đó có chứa trường nhập dữ liệu nhạy cảm hay không. Ngay cả khi áp dụng một trong các giải pháp có mục tiêu cụ thể hơn ở trên, bạn vẫn nên lên kế hoạch di chuyển trang web của mình để sử dụng HTTPS cho tất cả các trang.