Firefox, Firefox for Android
Firefox, Firefox for Android
建立于:
6 days ago
建立于:
6 days ago
当你使用 Firefox 浏览网页时,浏览器可能会自动把你的连接从不太安全的 HTTP 协议升级到更安全的 HTTPS 协议。此举保证你访问的网站是真正的网站并且你发送的信息,比如密码或个人数据,是加密的而且受到拦截保护。由于大多数网站目前都支持 HTTPS,所以升级通常不会带来问题。即使一个链接使用的是较老的 http:// 格式, Firefox 可能仍然会通过安全的 HTTPS 尝试连接,因为虽然网站已经支持 HTTPS,但是许多较老的链接还在那里。这会让你的浏览体验既顺滑又安全。
不同的升级机制
连接升级机制根据两个因素分类:
- 谁是发起者(服务器或浏览器)
- 被升级连接的类别
本节详细解释这些机制。
服务器发起升级
当网站服务器显示支持 HTTPS 时,浏览器可以自动切换到安全连接。服务器可以使用多种方法达成此目的:
- HTTP 严格传输安全(HSTS) 是一个让网站和浏览器沟通它支持安全连接的标准,并且浏览器在以后连接时会记住这一点。它有一个内置的网站列表作为补充,HSTS 预加载列表。
- HTTPS 资源记录(HTTPS RR) 是一个特殊的 DNS 列表,它告诉浏览器该网络服务器支持 HTTPS。
- 虽然技术上不是连接升级,许多网站会使用诸如 301 跳转 的转发状态码把 HTTP 连接转发到 HTTPS。
浏览器发起升级
如果浏览器无法判断网络服务器是否支持 HTTPS,那么它仍然可以尝试升级连接。因为 HTTPS 已经被广泛支持,所以这样做通常会成功。Firefox 支持多个浏览器发起的升级功能:
- HTTPS-First upgrades to secure connections 是从 Firefox 版本 136 就有的功能。它确保所有连接先尝试 HTTPS,失败后在回到 HTTP。这在不干扰用户的情况下优先使用最安全的连接。
此为实验功能,正逐步向 Firefox 用户推出。目前可能并非所有用户都可使用。
- 在 Firefox 中的仅 HTTPS 模式 是一个用户设置,启用后,它确保 Firefox 不再未提示用户的情况下建立不安全连接。由于现在大多数网站都支持 HTTPS,用户可能会觉得在打开 HTTP 网站时经常有 HTTPS-Only 模式的提示很奇怪,所以它默认是禁用状态。
- 有很多网络扩展也会升级连接。但是这些扩展主要是专家用户的特殊用途。
其他请求
以上的机制主要应用于 “顶级” 或导航请求,比如在地址栏输入网址或点击了一个链接。Firefox 还能处理其他类型的请求,比如从网页下载图片或其他资源。虽然 在 Firefox 中的仅 HTTPS 模式 适用于所有请求,但是次级资源通常使用以下机制升级:
- 网页的 upgrade-insecure-requests 内容安全政策(CSP) 指令会升级次级资源请求。
- 混合内容算法 保证如果网站的顶级请求是加密的,那么次级资源若不能加密,则连接被拦截。
