照理来说, https 页面如果引用了非 https 的资源,不是照理不会被浏览器加载的吗?
可为什么实际上 http 的图片仍然会被加载,而不是被屏蔽?是因为即使被替换也不会有安全问题吗?
试了下 IE11, Edge, Firefox 和 Chrome 都是这样。
例如淘宝的用户页:
再比如本页面:
但是这样的话,中间人是不是依然可以把正常图片替换为广告图片?
如果是的话,进一步想,如果某些支付 /银行网站页面的正常图片被替换成醒目的诈骗信息图片(比如闪烁的“你的安全受到威胁,请拨打 XXXXX 联系客服!”图片),不是仍然会对用户造成安全威胁吗?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.