2015年3月17日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了混合内容(Mixed Content)的候选推荐标准(Candidate Recommendation),向公众征集参考实现。
通常当用户代理通过一个安全信道(如HTTPS)从一个特定站点加载一个资源(如Web页面)时,用户代理可以获得关于该资源的用户安全和隐私状态的三种判断:认证性(authenticated)、加密性(encrypted)及数据完整性(data integrity)。这些判断对于防止资源内容被篡改或窃听,抵御中间人攻击非常重要。但如果这些经过认证和加密的资源再通过一个非安全的信道(如HTTP)请求其他的子资源(如脚本、图片等),该资源的安全性就不再能够得到保证,从而处在一个混合状态,而事实上这一情况非常普遍。
混合内容(Mixed Content)标准详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。
更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)。
评论已关闭