Brave iOS 项目中的混合内容自动升级技术解析

背景介绍

在Brave iOS浏览器项目中，团队最近实现了一项重要的安全增强功能——自动升级被动混合内容。这项技术改进主要针对iOS/WebKit环境中存在的混合内容安全问题。

混合内容问题概述

混合内容指的是在HTTPS页面中加载HTTP资源的情况，这会导致页面安全性降低。混合内容分为两类：

1. 主动混合内容：如脚本、样式表等，可能直接影响页面安全
2. 被动混合内容：如图像、视频、音频等，风险相对较低但仍有安全隐患

WebKit在iOS上默认只自动升级主动混合内容，而被动混合内容仍可能通过HTTP加载。

技术实现方案

Brave iOS团队通过添加内容拦截器规则来实现被动混合内容的自动升级。核心规则如下：

{
  "trigger": {
    "url-filter": "http://.*",
    "if-top-url": ["https://.*"],
    "resource-type": [
      "image", "media"
    ]
  },
  "action": {
    "type": "make-https"
  }
}

这条规则的工作原理是：

• 当检测到HTTPS页面中请求HTTP资源时
• 且资源类型为图像或媒体文件
• 自动将请求升级为HTTPS

安全考量

在实现过程中，团队特别考虑了以下安全因素：

1. 升级失败处理：如果资源不支持HTTPS，升级后的请求会失败(通常返回404)，而不是回退到HTTP加载
2. 不影响现有安全指示器：仍然会显示混合内容警告图标，但资源会被安全加载
3. 兼容性：不影响其他类型的安全警告，如证书过期等

实际效果验证

通过测试验证，该功能实现了预期效果：

1. 混合内容网站显示警告图标但仍可交互
2. HTTP资源被自动升级为HTTPS加载
3. 开发者工具中可看到升级日志和网络请求状态
4. 在标准模式和隐私模式下均正常工作

技术意义

这项改进使Brave iOS浏览器在混合内容处理上更加符合W3C标准，提升了用户浏览的安全性。通过内容拦截器实现这一功能，既保证了安全性，又保持了良好的性能表现。

对于普通用户来说，这意味着在使用Brave浏览器时，即使访问包含混合内容的网站，也能获得更好的安全保护，而无需额外操作。