Google 避免用户在 Google Chrome 中下载不安全的内容

Google 正在分阶段对 Google Chrome 浏览器实施更改，以阻止混合内容显示和混合内容下载。从 2021 年 1 月开始，Google 会默认阻止从 HTTPS 站点下载图像、文档、PDF 的 HTTP 文件。

本文章会重点介绍 Salesforce 核心产品。对于以下产品，请查看：

• Marketing Cloud
• Pardot
• Salesforce CPQ

对于其他云和产品，请查看以下此更改如何影响其他云和产品部分。

影响了什么？

此更改可能会影响最终用户访问非 HTTPS 下载，或在 Salesforce 的安全页面上启动图像的功能。

• 图像

在安全 HTTPS 页面上查看时，显示内容的损坏图像，例如在不安全的 HTTP 页面上托管的图像或视频。 

• 下载

在从安全 HTTPS 网页中单击时，在不安全的 HTTP 或 FTP 站点上托管的链接或附件将出错。

您可以采取哪些措施？

查看自定义内容，并确保通过安全 HTTPS 主机提供。HTTPS 会对传输中的数据 (TLS) 进行加密，以防止中间人等攻击。配置 HTTPS 的方法会根据您正在使用的服务而更改。请使用以上特定于服务的链接，以获取有关配置 HTTPS 的其他指导。有关更多信息，请阅读 Google Chrome 博客。
 

此更改如何影响其他云和产品？

Salesforce 技术团队已评估此更改如何影响云端产品，并计划在更多信息公布时更新本文章。
 

Commerce Cloud 

查看自定义电子邮件模板，以了解混合内容。客户控制的自定义电子邮件模板是受此更改影响的唯一区域。
 

Industries Cloud

Vlocity 

查看自定义开发的 UI 和 Apex 类，以了解潜在混合内容问题。自定义开发的 UI 包含 Visualforce 页面、Aura 组件，以及通过安全主机提供的 LWC 或 HTML/CSS/JS 内容。对于自定义 Apex 类，检查在代码和数据中设置的 URL 变量，或从 UI 中嵌入和显示的外部 API 收到的 URL 变量。对于通过 HTTP URL 提供任何嵌入的不安全内容，将可以移除，或使用安全 HTTPS 主机替换。
 

Experience Cloud（此前是 Community Cloud） 

审核 Visualforce 页面、Lightning 组件和社区配置，以确保不使用混合内容。请确保，指向在组件中创建或配置的可下载内容的任何链接使用 HTTPS。

Salesforce CMS 内容
对于外部引用的媒体创建，使用安全“https://”URL，以维护内容的全部功能。包含不安全 URL 的外部引用媒体将不再本地显示缩略图和预览。

Google 为何做出此更改？

不安全的下载将威胁用户的安全和隐私。例如，攻击者可以使用恶意软件替换不安全下载。窃听者可以读取用户的不安全下载的银行对帐单。为解决这些风险，Google 计划最终移除对 Chrome 中的不安全下载的支持。Google 已宣布，Chrome 逐渐确保安全 (HTTPS) 页面仅下载安全文件。在时间线部分概述的一系列步骤中，Chrome 会开始阻止混合内容下载，即在安全页面上启动的非 HTTPS 下载。此举措在 Google 去年宣布的计划后逐步实施，以阻止安全页面中的所有不安全子资源。最初，Google 致力于在安全页面上启动的不安全下载。这些情况需要留意，因为 Chrome 目前不会告知用户隐私和安全处于风险状态。

我如何能获取更多信息？

请阅读 Google Chrome 博客，以从 Google 及其预期时间线了解详细信息。