避免 Chrome 顯示不安全警告

9 月宣布,Chrome 很快就會在網址列中將含有密碼信用卡輸入欄的不安全網頁標示為「不安全」

這份文件旨在協助網頁開發人員更新網站,以免收到這項警告。

啟用警告

在 Chrome 56 中,警告會預設為啟用,該版本預計於 2017 年 1 月發布。

如要在該日期前測試即將推出的使用者體驗,請安裝最新的 Google Chrome Canary 版本。

如要讓 Chrome 在 2017 年 1 月開始顯示警告訊息,請開啟 chrome://flags/#mark-non-secure-as,然後將 Mark non-secure origins as non-secure 選項設為 Display a verbose state when password or credit card fields are detected on an HTTP page。然後重新啟動瀏覽器。

您可以在這個頁面中查看瀏覽器警告行為的範例。

顯示「Not Secure」狀態時,開發人員工具控制台會顯示「This page includes a password or credit card input in a non-secure context. A warning has been added to the URL bar.」訊息

控制台警告示例。

解決警告

為確保網頁不會顯示「不安全」警告,您必須確保所有包含 <input type=password> 元素的表單,以及任何偵測為信用卡欄位的輸入內容,都位於安全來源。這表示頂層網頁必須是 HTTPS,如果 input 位於 iframe 中,則該 iframe 也必須透過 HTTPS 提供。

如果網站在 HTTP 網頁上疊加 HTTPS 登入框架,

透過 HTTP 登入的 HTTPS 登入記錄範例。

您必須變更網站,讓整個網站使用 HTTPS (理想做法),或將瀏覽器視窗重新導向至包含登入表單的 HTTPS 網頁:

透過 HTTPS 登入的 HTTPS 記錄範例。

長期目標:全面使用 HTTPS

最後,Chrome 會針對透過 HTTP 提供的所有頁面顯示「不安全」警告,無論該頁面是否含有機密輸入欄位皆然。即使採用上述更具針對性的解決方案,您仍應規劃將網站遷移至所有網頁都使用 HTTPS。