Answers:
当通过HTTPS服务的页面通过HTTP加载脚本,CSS或插件资源时,将导致“混合脚本”漏洞。中间人攻击者(例如,同一无线网络中的某人)通常可以拦截HTTP资源负载,并获得对加载该资源的网站的完全访问权限。通常就像网页根本没有使用HTTPS一样糟糕。
http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html
安全研究人员和许多Web开发人员都很好地理解和阐明了威胁。共有3个简单的步骤可通过混合内容漏洞攻击用户...
1)设置中间人攻击。这些最容易在公共网络上完成,例如在咖啡店或机场中。
2)使用混合内容漏洞来注入恶意的javascript文件。恶意代码将在用户浏览到的HTTPS网站中运行。关键是HTTPS站点上存在混合内容漏洞,这意味着它执行通过HTTP下载的内容。这就是中间人攻击和混合内容漏洞组合成危险情况的地方。
“如果某些攻击者能够篡改Javascript或样式表文件,那么他也可以有效地篡改页面上的其他内容(例如,通过修改DOM)。因此,要么全部要么一无所有。使用SSL为您的所有元素提供服务,则很安全。或者您从纯HTTP连接加载一些Javascript或样式表文件,那么您就不再安全了。”-我
3)窃取用户的身份(或做其他坏事)。
http://ie.microsoft.com/testdrive/浏览器/MixedContent/Default.html?o=1
相关问题:https : //stackoverflow.com/questions/3778819/browser-mixed-content-warning-whats-the-point