Google Chrome团队出招阻断混合脚本漏洞

　　帮助站长分析的工具

　　如果 Chromium 的 UI 显示网站上存在混合内容问题，可以尝试 Google 的开发工具定位问题。有用的信息通常记录在 JavaScript 控制台 (菜单 -> 工具 -> JavaScript 控制台)：

　　站长还可以打开“网络”选项卡重新加载页面，并查找通过 http:// 协议传送的内容。值得注意的是，混合脚本得以执行时，整个原始页面都会受到影响，因此需要查看所有引用了发现的来源的标签页的控制台。要清除错误，所有引用了有害来源的标签页都要关闭。特别棘手的情况是不清楚来源如何产生危害，这时还可以启用命令行控制台调试功能查看相关的警告信息。

　　Chromium 13 提供了命令行标记 --no-running-insecure-content。Google 建议站长与高级用户附带该标记运行 Chrome，以便清理有问题的网站。（还针对较轻级别的混合内容问题提供了 --no-displaying-insecure-content；Chromium 14 尚无计划默认拦截此内容。）

　　而 Chromium 14 将提供相反的标记: --allow-running-insecure-content，方便使用未能及时修正这些错误的内部应用程序的用户与管理员。

　　via Google Online Security Blog

　　编注：Chrome 14 已于上周部署到了 dev 分支，拦截后的提示文字说明更加全面，并且去掉了“确定”按钮（与“关闭”图标功能重复），还提供了“了解更多”链接——不过帮助中心还没有准备好相应内容。

　　提示：“该站点的部分脚本内容不安全，为了您的安全已进行拦截。”按钮：“仍然加载（不推荐）”