使用 Chrome 开发者工具中的安全面板,确保在网页上正确实现了 HTTPS。 请参阅HTTPS 为何重要,了解为何每个网站都应使用 HTTPS 加密,即使网站不处理敏感用户数据,也应如此。
概览
安全面板是开发者工具中用于检查网页安全性的主界面。安全面板可让您大致了解网页的来源,包括 HTTP 安全警告、来源详情和证书。
打开“安全性”面板
如需打开安全面板,请按以下步骤操作:
- 打开开发者工具。
- 按以下键打开命令菜单:
- macOS:Command+Shift+P
- Windows、Linux、ChromeOS:Ctrl+Shift+P
开始输入
security,选择显示“安全”面板,然后按 Enter 键。
图 1. “安全性”面板
或者,在右上角,依次选择 more_vert 更多选项 > 更多工具 > 安全。
常见问题
不安全的主要来源
如果网页的主要来源不安全,安全概览会显示此网页不安全。
图 2. 非安全网页
如果您访问的网址是通过 HTTP 请求的,就会出现此问题。为了确保安全,您需要通过 HTTPS 请求该证书。例如,如果您查看地址栏中的网址,它可能类似于 http://example.com。为确保安全,网址应为 https://example.com。
如果您已在服务器上设置 HTTPS,则只需将服务器配置为将所有 HTTP 请求重定向到 HTTPS,即可解决此问题。
如果您尚未在服务器上设置 HTTPS,Let's Encrypt 提供了一种免费且相对简单的方式来启动该流程。或者,您也可以考虑在 CDN 上托管网站。目前,大多数主要 CDN 都默认通过 HTTPS 托管网站。
混合内容
混合内容是指网页的主要来源是安全的,但网页请求了来自非安全来源的资源。混合内容网页只能部分受到保护,因为 HTTP 内容可供嗅探器访问,并且容易遭受中间人攻击。
图 3. 混合内容
在 Figure 3 中,点击 View 1 request in Network panel 会打开 Network 面板并应用 mixed-content:displayed 过滤条件,以便 Network Log 仅显示不安全的资源。
图 4. 网络日志中的混合资源
查看详情
查看主要来源证书
在安全概览中,点击查看证书以快速检查主来源的证书。
图 5. 主要来源证书
查看来源详情
点击左侧导航栏中的某个条目可查看来源的详细信息。在详情页面中,您可以查看连接和证书信息。系统还会显示证书透明度信息(如果有)。
图 6. 主要来源详情