如9 月宣布,Chrome 很快就會在網址列中將含有密碼和信用卡輸入欄的不安全網頁標示為「不安全」。
這份文件旨在協助網頁開發人員更新網站,以免收到這項警告。
啟用警告
在 Chrome 56 中,警告會預設為啟用,該版本預計於 2017 年 1 月發布。
如要在該日期前測試即將推出的使用者體驗,請安裝最新的 Google Chrome Canary 版本。
如要讓 Chrome 在 2017 年 1 月開始顯示警告訊息,請開啟 chrome://flags/#mark-non-secure-as,然後將 Mark non-secure origins as
non-secure 選項設為 Display a verbose state when password or credit card
fields are detected on an HTTP page。然後重新啟動瀏覽器。
您可以在這個頁面中查看瀏覽器警告行為的範例。
顯示「Not Secure」狀態時,開發人員工具控制台會顯示「This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar.」訊息
解決警告
為確保網頁不會顯示「不安全」警告,您必須確保所有包含 <input type=password> 元素的表單,以及任何偵測為信用卡欄位的輸入內容,都僅位於安全來源。這表示頂層網頁必須是 HTTPS,如果 input 位於 iframe 中,則該 iframe 也必須透過 HTTPS 提供。
如果網站在 HTTP 網頁上疊加 HTTPS 登入框架,
您必須變更網站,讓整個網站使用 HTTPS (理想做法),或將瀏覽器視窗重新導向至包含登入表單的 HTTPS 網頁:
長期目標:全面使用 HTTPS
最後,Chrome 會針對透過 HTTP 提供的所有頁面顯示「不安全」警告,無論該頁面是否含有機密輸入欄位皆然。即使採用上述更具針對性的解決方案,您仍應規劃將網站遷移至所有網頁都使用 HTTPS。