Http 浏览器混合内容警告-什么'；重点是什么？

我在我的SSL安全站点上使用Google maps API。因此，我总是从我的web应用程序中弹出这些可怕的“混合内容”警告之一。这很烦人。我知道，当我在谷歌注册一个卓越理财账户时，这个问题就可以解决了。万岁。我只是感到困惑：无论我是通过HTTP还是HTTPS下载他们的内容，谷歌对我网站完整性的威胁都是一样的。换句话说，浏览器发布此警告有什么意义

---

谢谢。

此消息存在的原因是任何HTTPS连接都是通过SSL提供的，因此浏览器知道传入的数据确实是从服务器发送的数据

任何通过HTTP交付的组件都不是这种情况-这些组件可能会更改通过SSL交付的组件，因此无法维护HTTPS数据正确性的保证

这就是为什么会出现警告

无论我是通过HTTP还是HTTPS下载他们的内容，谷歌对我网站完整性的威胁都是一样的

我想你用错了。威胁是而不是，谷歌可能会恶意行事，向用户发送错误的数据。事实上，SSL无法防止这种情况

实际威胁是，中间人（在用户和谷歌之间）可以窃听未受保护的数据，以确定用户在做什么，甚至修改未受保护的内容以欺骗他们。p>

---

浏览器有责任以某种方式通知用户此类攻击是可能的。否则，用户会错误地认为一切都是安全的，因为他输入了一个“https”地址。

来自谷歌的威胁可能保持不变，但当你通过http加载谷歌内容时，你需要担心的不仅仅是来自谷歌的威胁；你还需要担心中间人攻击，在这种攻击中，有人假装是谷歌，向你的页面注入恶意内容。随着使用不信任或不安全的无线网络的人的数量，现在开始进行中间人攻击并不难。p>

---

此外，https应该保护双向的信息。如果页面上有未通过https保护的内容，但用户在地址和锁定图标中看到https，他们可能会认为他们输入的信息是安全的，不会被窃听，而事实上一些信息是以明文形式传输的。

我不确定我是否使用了错误的“线程模型”，正如您所写。从你的回答中可以明显看出，你比任何中间人都更信任谷歌。我认为，任何将第三方小部件混搭在一起的应用程序都比任何中间人更容易受到第三方的攻击。@Ollie2893：当你决定使用谷歌地图API时，你已经选择信任谷歌了。声称你不信任他们是荒谬的；为什么要故意让攻击者打开web应用程序？除了编写自己的maps API（这是浪费时间；我不从事地图制作业务），我必须使用外部提供商。我不会读到我对谷歌API的使用，我相信他们。谷歌的企业文化充其量只是对隐私的矛盾。想想地图API是多么棒的特洛伊木马。不幸的是，我想不出一种沙盒的方法。“来自谷歌的威胁可能保持不变”——这是关键。如果我切换到HTTPS进行混搭，那么浏览器将保持安静，但用户信息仍可能泄漏到谷歌。换句话说，在抑制浏览器警告时，HTTPS会产生错误的安全感。@Ollie2893 HTTPS肯定不能解决所有安全问题；即使使用HTTPS，您仍然容易受到各种威胁（跨站点脚本、与您交谈的恶意或不合格服务器、网络钓鱼攻击等）。发出警告的原因是，一旦混合使用HTTP和HTTPS内容，即使HTTPS应该提供的保证（即数据将被加密到服务器，并且来自服务器的内容是真实的）也不再正确。