谷歌安全博客發文稱，為了增強下載防護體驗，Chrome瀏覽器將開始阻止非“安全超文本傳輸協議”的混合內容下載。作為去年宣布的一項計劃的延續，Chrome將開始阻止“安全頁面”上的所有“非安全子資源”的接觸。鑑於不安全的文件下載會威脅到用戶的安全與隱私，此事確實值得推進。

（來自：Google Security Blog）

比如，攻擊者可攔截不安全的下載地址，將程序替換成惡意軟件、甚至訪問更多的敏感信息。為管控這些風險，谷歌最終還是決定取消對不安全下載的支持。

初期，Chrome 將屏蔽始於安全頁面的不安全下載。這種情況尤其讓人擔憂，因為Chrome 當前無法向用戶表明其隱私和安全受到威脅。

從2020 年4 月的Chrome 82 開始，谷歌瀏覽器將逐步放出警告、直至最終阻止這類混合內瓤的下載。

對用戶構成最大風險的文件類型（可執行文件）將首先受到影響，後續版本將覆蓋更多的文件類型。

逐步推出的目的，旨在快速緩解最嚴重的風險，為開發人員提供更新其網站的緩衝時間，並最大程度地減少Chrome 用戶必須看到的警告數量。

谷歌計劃首先在Windows、macOS、Chrome OS和Linux桌面平台上推出對混合內容下載的限制，下面是Chrome團隊的計劃安排：

Chrome 81（2020 年3 月）：瀏覽器會蹦出一條控制台消息，警告所有混合內容的下載；

Chrome 82（2020 年4 月）：瀏覽器將警告（.exe 等可執行文件）的混合內容下載；

Chrome 83（2020 年6 月）：警告.zip 檔案和.iso 磁盤映像混合內容的下載；

Chrome 84（2020 年8 月）：警告除圖片、音視頻、文本之外的混合內容的下載；

Chrome 85（2020 年9 月）：警告圖像、音視頻和文本類混合內容的下載；

Chrome 86（2020 年10 月）：阻止所有類型混合內容的下載。

至於Android 和iOS 移動平台，谷歌會將相關政策推遲一個版本，從Chrome 83 開始發出警告。

鑑於移動平台具有更好的抵禦惡意文件的本機防護功能，留出的時間差，使得開發者有機會在用戶遇到問題前，對自家移動網站進行更新。

此外在當前版本的Chrome Canary 或Chrome 81 中，開發者可啟用“將不安全的連接視作危險的混合內容下載”來激活相關警告。

chrome://flags/#treat-unsafe-downloads-as-active-content

企業和教育客戶可通過現有的每個站點來阻止，在InsecureContentAllowedForUrls中添加與請求下載頁面匹配的模式來實施相關策略。