Загрузки, передаваемые через небезопасное соединение на веб-сайтах HTTPS, обрабатываются как смешанный контент и блокируются браузером Chrome. Изменение было распространено на 50% среди пользователей Dev и Canary, но на данный момент оно приостановлено.
Google пытается заблокировать небезопасные загрузки, «инициированные из безопасных контекстов как форму активного смешанного контента». Планируется изначально применить это к типам файлов с высоким риском, таким как .exe на рабочем столе.
Флаг, имеющийся под названием «рассматривать рискованные загрузки через небезопасные соединения как активный смешанный контент», говорит об этом подробнее ». Экспериментальная функция, когда она включена, «запрещает загрузку небезопасных файлов (файлов, которые потенциально могут выполнять код), где конечный источник загрузки или любой источник в прямой цепочке небезопасен, если исходная страница безопасна».
Если вы инициируете загрузку исполняемого файла на защищенном веб-сайте и если он загружается через небезопасное соединение, то эта загрузка будет заблокирована, и информация будет отображаться пользователю в Devtools с ошибкой смешанного содержимого с сообщением:
«Сайт https://example.com/1.html был загружен через защищенное соединение, но файл на http://site.com/x.exe был перенаправлен через небезопасное соединение. Этот файл должен обслуживаться по HTTPS ».
Эта функция должна быть интегрирована в диспетчер загрузки Chrome и не имеет ничего общего с безопасным просмотром в Google. CL приземлился в мае, чтобы изменить конечный автомат DownloadTargetDeterminer, чтобы «добавить вызов его делегату, чтобы проверить, следует ли блокировать загрузку. Это происходит изначально после определения исходного пути загрузки. но до того, как пользователю может быть предложено, это в конечном итоге будет использоваться для блокировки загрузок как активного смешанного контента »
