谷歌Chrome的重要更改及對(duì)電子商務(wù)的影響

據(jù)了解，2025年10月7日，谷歌Chrome宣布了可能對(duì)電子商務(wù)網(wǎng)站產(chǎn)生重要影響的變更。

這些更改旨在解決網(wǎng)頁上的“Mixed Content”（混合內(nèi)容）問題。一般來說，除文本外，典型的網(wǎng)頁還包含圖像、音頻文件和視頻。然而，額外的非文本資源常常通過HTTP請(qǐng)求而非HTTPS加載，這會(huì)帶來安全風(fēng)險(xiǎn)。谷歌的此次變更就是為了糾正這一問題。

目前，Chrome 77是相對(duì)穩(wěn)定的版本。而相關(guān)更改將在三個(gè)月內(nèi)實(shí)施。

（1）2025年12月，Chrome 79版本將為用戶提供設(shè)置，以覆蓋Chrome 80和81的默認(rèn)更改，這兩個(gè)版本計(jì)劃在2026年1月和2月發(fā)布。

（2）2026年1月，Chrome 80將強(qiáng)制要求音頻和視頻資源使用HTTPS。若未以HTTPS加載，Chrome將予以阻止。不過，用戶可通過Chrome 79中引入的設(shè)置來解除阻止，但導(dǎo)航欄仍會(huì)針對(duì)不安全資源顯示“不安全”警告。

（3）2026年2月，Chrome 81將強(qiáng)制圖片升級(jí)至HTTPS。若未以HTTPS方式加載，Chrome同樣會(huì)進(jìn)行阻止，用戶也可自行解除。

為確保這些更改不會(huì)影響未來的電子商務(wù)銷售，賣家應(yīng)遵循以下步驟。

1、檢測(cè)混合內(nèi)容

任何網(wǎng)站，包括電子商務(wù)網(wǎng)站，都應(yīng)通過HTTPS加載。混合內(nèi)容會(huì)給最終用戶帶來隱私和安全隱患，可能導(dǎo)致信息泄露給潛在攻擊者。多數(shù)瀏覽器會(huì)自動(dòng)阻止如腳本和iframe等代碼執(zhí)行資源，但圖像、音頻和視頻此前未被屏蔽。不過，從2026年1月起，這種情況將有所改變。

近日有新聞報(bào)道，一些不法分子利用網(wǎng)絡(luò)漏洞篡改圖像信息，誤導(dǎo)公眾，這也進(jìn)一步凸顯了網(wǎng)絡(luò)安全的重要性。Chromium博客在2025年10月3日的帖子中就提到了該問題。

“瀏覽器默認(rèn)會(huì)阻止許多類型的混合內(nèi)容，如腳本和iframe，但仍允許加載圖像、音頻和視頻，這對(duì)用戶的隱私和安全構(gòu)成了威脅。比如，攻擊者可能篡改圖表的混合圖像誤導(dǎo)投資者，或者將跟蹤cookie注入混合資源負(fù)載中。此外，加載混合內(nèi)容還會(huì)導(dǎo)致瀏覽器安全UX的混亂。”

賣家可以檢查自己的網(wǎng)站是否存在混合內(nèi)容。瀏覽頁面時(shí)，可在地址欄中尋找“鎖定”圖標(biāo)。當(dāng)出現(xiàn)混合內(nèi)容時(shí)，該圖標(biāo)會(huì)變?yōu)樾畔D標(biāo)(“i”)。同時(shí)，也可以通過Chrome開發(fā)者工具的“Network”標(biāo)簽，在搜索框中輸入“mixed-content”來獲取混合內(nèi)容資源列表。

手動(dòng)檢查每個(gè)電子商務(wù)網(wǎng)站頁面并非易事。Screaming Frog（尖叫青蛙）、DeepCrawl（深度爬蟲）或類似的網(wǎng)絡(luò)爬蟲可以幫忙處理這些繁雜工作。若在Screaming Frog中進(jìn)行檢查，可對(duì)網(wǎng)站進(jìn)行爬網(wǎng)，然后轉(zhuǎn)到Reports>Insecure Content，該操作會(huì)列出未安全加載的資源。

Screaming Frog和其他網(wǎng)絡(luò)爬蟲只能檢查網(wǎng)站鏈接的頁面，它們無法將商品添加到購物車或遵循結(jié)賬渠道。因此，賣家需要手動(dòng)跟蹤結(jié)賬渠道，并留意地址欄中的鎖定或信息圖標(biāo)。

2、如何修復(fù)？

有多種方法可以修復(fù)混合內(nèi)容。若網(wǎng)站未加載來自第三方網(wǎng)站的圖像、音頻和視頻，可將所有資源URL設(shè)置為相對(duì)。例如，使用/image/product.png而不是http://www.sitestore.com/image/productA.png。相對(duì)URL會(huì)始終正確解析。

若這些資源托管在未啟用HTTPS的第三方站點(diǎn)中，可考慮制作副本，從站點(diǎn)加載這些資源并相應(yīng)地更新鏈接。

另一種方法是設(shè)置web服務(wù)器以使用內(nèi)容安全策略，該策略會(huì)告知web瀏覽器哪些內(nèi)容是允許的，哪些是不允許的。CSP中有許多潛在的指令。在某些場(chǎng)景中，我們對(duì)“upgrade-insecure-requests”感興趣。當(dāng)web服務(wù)器指定該指令時(shí)，瀏覽器將通過HTTP響應(yīng)標(biāo)頭強(qiáng)制使用HTTPS加載所有資源，如下所示：

Content-Security-Policy: upgrade-insecure-requests（內(nèi)容安全策略：不安全升級(jí)請(qǐng)求）

最后，還可以手動(dòng)修復(fù)鏈接的源代碼。雖然這需要做更多工作，但能避免瀏覽器兼容性問題。

（編譯/風(fēng)口星網(wǎng) 張宇）

【特別聲明】未經(jīng)許可同意，任何個(gè)人或組織不得復(fù)制、轉(zhuǎn)載、或以其他方式使用本網(wǎng)站內(nèi)容。轉(zhuǎn)載請(qǐng)聯(lián)系：editor@jinfengkou.com