关于百度APP限制HTTPS页面自动下载http文件的通知

时间：2022-05-29 21:09:01 | 来源：网络营销

时间：2022-05-29 21:09:01 来源：网络营销

在早些年的时候，网站的访问及传输基本用的都是HTTP协议，HTTP协议虽然使用极为广泛, 但是却存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付, 网络交易等新兴应用中安全方面最需要关注的。

于是，HTTPS协议便产生了，HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，要比 HTTP 协议安全，可防止数据在传输过程中被窃取、改变，确保数据的完整性。HTTPS 是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

随着人们网络安全意识的加强，网民在网络下载文件也更加谨慎了，基于用户安全体验的考虑，百度今日也发布了一条最新公告《关于百度APP限制HTTPS页面自动下载http文件的通知》，用来限制HTTPS页面自动下载http文件。

公告原文如下：

由于http请求为非安全请求，可能会被网络中间件劫持，http下载的文件可能会被中间件攻击者替换为恶意软件，威胁用户的安全和隐私，chrome浏览器将从83版本开始逐步限制HTTPS页面下载http文件。

为了保障百度APP的用户安全，百度APP从11.26版本开始，将限制HTTPS页面的http自动下载(无用户交互的下载)，请相关站点及时调整下载链接，以免给页面造成影响。

附录——知识点扩展：

https网页加载http资源导致的页面报错及解决方案

https是当下的网站的主流趋势，然而对于以前http链接来说，我们往往就存在一个兼容性问题，因为你不可能一下就全部切换过去，应该在很长一段时间内，https与http将共存（关于HTTP与https区别发相关知识可查看亿企邦《HTTP与https的区别》的介绍）。

https与http共存的场景有如：

1、app已经发布出去，其调用接口的地址为http的，那么这是必须兼容的。

2、app中嵌入了h5页面，而这页面在以前的设计中是使用http访问的，如果换成https地址，极有可能将导致h5页面无法打开。

3、对于流量推广一类的业务，可能原有的http推广地址已经发送给第三方，而且即使你通知到第三方要求改为https，也不排除有http地址的访问。

针对以上场景，我们肯定是要https与http共存的。

改https初看起来，其实就是一个域名指向的问题，也许我们只要将http的请求，直接跳转到https地址去，那么也就完成了https的切换。实际并不是这么简单的。

因为https地址中，如果加载了http资源，浏览器将认为这是不安全的资源，将会默认阻止，这就会给你带来资源不全的问题了，比如：图片显示不了，样式加载不了，JS加载不了。因为样式类，基本上都是写在本地的，所以一般还可以，但是一些公共的js文件，往往就是存在于cdn或者其他服务器上，这时候，如果访问不了，可能就导致了业务就完全操作不了。比如：jquery效法加载失败，可能所有的操作、请求都将无效了。

将http请求直接跳转至https请求，是一种解决办法，而且很多公司都是这么干的，比如百度什么的，但是前提是，你所有的服务都已切换https完成。

但是对于，要兼容https、http两种协议的情况，怎样才能做到呢？

1、最笨的方法，直接复制原有代码，写成两套代码，一套为http使用，一套为https使用，http和https各自指向各自服务。

2、可用的方法，用同一套代码，在后台请求标识好协议，将该变量传到html页面中，进行协议替换，如：后台变量，$protocol = 'https://'; 前台接收变量 src='{$protocol}res.aa.com/jquery.js'。

3、h5方法，使用js自己加载协议情况，如在body onload='aa()', 在aa() 方法中，将资源按照需求加载进来即可。

4、推荐方法，不指定具体协议，使用资源协议自适配，比如，当前为https页面，那么就是https资源，如果是http页面，那么就是http资源。具体方法超简单：<script src='//www.mahaixiang.cn/jquery.js'></script>

好了，当你遇到https网页加载http资源导致的页面报错时，可以按照以上方法尝试解决一下，如果有更好的解决方法，会跟大家再分享。

亿企邦点评：

可以看到，鉴于电子商务等安全上的需求，HTTPS对比HTTP协议，在安全方面已经取得了极大的增强。总结来说，HTTPS的改进点在于创造性的使用了非对称加密算法，在不安全的网路上，安全的传输了用来进行对称加密的密钥，综合利用了非对称加密的安全性和对称加密的快速性。因此，HTTPS协议的使用也是未来必将广泛使用的一个趋势，在此建议大家还是早点改进吧！