關(guān)于百度APP限制HTTPS頁(yè)面自動(dòng)下載http文件的通知

時(shí)間：2022-05-29 21:09:01 | 來(lái)源：網(wǎng)絡(luò)營(yíng)銷

時(shí)間：2022-05-29 21:09:01 來(lái)源：網(wǎng)絡(luò)營(yíng)銷

在早些年的時(shí)候，網(wǎng)站的訪問(wèn)及傳輸基本用的都是HTTP協(xié)議，HTTP協(xié)議雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數(shù)據(jù)的明文傳送和消息完整性檢測(cè)的缺乏, 而這兩點(diǎn)恰好是網(wǎng)絡(luò)支付, 網(wǎng)絡(luò)交易等新興應(yīng)用中安全方面最需要關(guān)注的。

于是，HTTPS協(xié)議便產(chǎn)生了，HTTPS 協(xié)議是由 SSL+HTTP 協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比 HTTP 協(xié)議安全，可防止數(shù)據(jù)在傳輸過(guò)程中被竊取、改變，確保數(shù)據(jù)的完整性。HTTPS 是現(xiàn)行架構(gòu)下最安全的解決方案，雖然不是絕對(duì)安全，但它大幅增加了中間人攻擊的成本。

隨著人們網(wǎng)絡(luò)安全意識(shí)的加強(qiáng)，網(wǎng)民在網(wǎng)絡(luò)下載文件也更加謹(jǐn)慎了，基于用戶安全體驗(yàn)的考慮，百度今日也發(fā)布了一條最新公告《關(guān)于百度APP限制HTTPS頁(yè)面自動(dòng)下載http文件的通知》，用來(lái)限制HTTPS頁(yè)面自動(dòng)下載http文件。

公告原文如下：

由于http請(qǐng)求為非安全請(qǐng)求，可能會(huì)被網(wǎng)絡(luò)中間件劫持，http下載的文件可能會(huì)被中間件攻擊者替換為惡意軟件，威脅用戶的安全和隱私，chrome瀏覽器將從83版本開(kāi)始逐步限制HTTPS頁(yè)面下載http文件。

為了保障百度APP的用戶安全，百度APP從11.26版本開(kāi)始，將限制HTTPS頁(yè)面的http自動(dòng)下載(無(wú)用戶交互的下載)，請(qǐng)相關(guān)站點(diǎn)及時(shí)調(diào)整下載鏈接，以免給頁(yè)面造成影響。

附錄——知識(shí)點(diǎn)擴(kuò)展：

https網(wǎng)頁(yè)加載http資源導(dǎo)致的頁(yè)面報(bào)錯(cuò)及解決方案

https是當(dāng)下的網(wǎng)站的主流趨勢(shì)，然而對(duì)于以前http鏈接來(lái)說(shuō)，我們往往就存在一個(gè)兼容性問(wèn)題，因?yàn)槟悴豢赡芤幌戮腿壳袚Q過(guò)去，應(yīng)該在很長(zhǎng)一段時(shí)間內(nèi)，https與http將共存（關(guān)于HTTP與https區(qū)別發(fā)相關(guān)知識(shí)可查看億企邦《HTTP與https的區(qū)別》的介紹）。

https與http共存的場(chǎng)景有如：

1、app已經(jīng)發(fā)布出去，其調(diào)用接口的地址為http的，那么這是必須兼容的。

2、app中嵌入了h5頁(yè)面，而這頁(yè)面在以前的設(shè)計(jì)中是使用http訪問(wèn)的，如果換成https地址，極有可能將導(dǎo)致h5頁(yè)面無(wú)法打開(kāi)。

3、對(duì)于流量推廣一類的業(yè)務(wù)，可能原有的http推廣地址已經(jīng)發(fā)送給第三方，而且即使你通知到第三方要求改為https，也不排除有http地址的訪問(wèn)。

針對(duì)以上場(chǎng)景，我們肯定是要https與http共存的。

改https初看起來(lái)，其實(shí)就是一個(gè)域名指向的問(wèn)題，也許我們只要將http的請(qǐng)求，直接跳轉(zhuǎn)到https地址去，那么也就完成了https的切換。實(shí)際并不是這么簡(jiǎn)單的。

因?yàn)閔ttps地址中，如果加載了http資源，瀏覽器將認(rèn)為這是不安全的資源，將會(huì)默認(rèn)阻止，這就會(huì)給你帶來(lái)資源不全的問(wèn)題了，比如：圖片顯示不了，樣式加載不了，JS加載不了。因?yàn)闃邮筋悾旧隙际菍?xiě)在本地的，所以一般還可以，但是一些公共的js文件，往往就是存在于cdn或者其他服務(wù)器上，這時(shí)候，如果訪問(wèn)不了，可能就導(dǎo)致了業(yè)務(wù)就完全操作不了。比如：jquery效法加載失敗，可能所有的操作、請(qǐng)求都將無(wú)效了。

將http請(qǐng)求直接跳轉(zhuǎn)至https請(qǐng)求，是一種解決辦法，而且很多公司都是這么干的，比如百度什么的，但是前提是，你所有的服務(wù)都已切換https完成。

但是對(duì)于，要兼容https、http兩種協(xié)議的情況，怎樣才能做到呢？

1、最笨的方法，直接復(fù)制原有代碼，寫(xiě)成兩套代碼，一套為http使用，一套為https使用，http和https各自指向各自服務(wù)。

2、可用的方法，用同一套代碼，在后臺(tái)請(qǐng)求標(biāo)識(shí)好協(xié)議，將該變量傳到html頁(yè)面中，進(jìn)行協(xié)議替換，如：后臺(tái)變量，$protocol = 'https://'; 前臺(tái)接收變量 src='{$protocol}res.aa.com/jquery.js'。

3、h5方法，使用js自己加載協(xié)議情況，如在body onload='aa()', 在aa() 方法中，將資源按照需求加載進(jìn)來(lái)即可。

4、推薦方法，不指定具體協(xié)議，使用資源協(xié)議自適配，比如，當(dāng)前為https頁(yè)面，那么就是https資源，如果是http頁(yè)面，那么就是http資源。具體方法超簡(jiǎn)單：<script src='//www.mahaixiang.cn/jquery.js'></script>

好了，當(dāng)你遇到https網(wǎng)頁(yè)加載http資源導(dǎo)致的頁(yè)面報(bào)錯(cuò)時(shí)，可以按照以上方法嘗試解決一下，如果有更好的解決方法，會(huì)跟大家再分享。

億企邦點(diǎn)評(píng)：

可以看到，鑒于電子商務(wù)等安全上的需求，HTTPS對(duì)比HTTP協(xié)議，在安全方面已經(jīng)取得了極大的增強(qiáng)?？偨Y(jié)來(lái)說(shuō)，HTTPS的改進(jìn)點(diǎn)在于創(chuàng)造性的使用了非對(duì)稱加密算法，在不安全的網(wǎng)路上，安全的傳輸了用來(lái)進(jìn)行對(duì)稱加密的密鑰，綜合利用了非對(duì)稱加密的安全性和對(duì)稱加密的快速性。因此，HTTPS協(xié)議的使用也是未來(lái)必將廣泛使用的一個(gè)趨勢(shì)，在此建議大家還是早點(diǎn)改進(jìn)吧！