没有 HTTPS 会被浏览器拦截吗

没有 HTTPS 会被浏览器拦截吗

不会被“拦截”，但现代主流浏览器（Chrome、Edge、Firefox、Safari）会对 HTTP 页面施加明确的**安全警告与功能降级**，部分场景下等效于事实性拦截。

自 Chrome 68（2018年7月）起，所有未加密的 HTTP 网站在地址栏统一标记为“不安全”（Not Secure）。此后版本持续强化限制：HTTP 页面无法调用 Geolocation、Notifications、WebRTC、Service Workers 等需安全上下文（secure context）的 API；Chrome 125+ 进一步禁止 HTTP 页面通过 document.write() 注入脚本或 iframe，且对混合内容（HTTP 资源嵌入 HTTPS 页面）执行更严格的阻止策略。Firefox 与 Safari 同步实施类似策略，依据 W3C Secure Contexts 规范（RFC 9245）及各厂商安全策略演进。

用户主动访问 HTTP URL 时，页面仍可加载，但若网站依赖现代 Web 功能（如 PWA、支付接口、摄像头调用），将因缺少安全上下文而直接失败——此时表现为“功能不可用”，而非网络层拦截。搜索引擎（Google Search Console）亦将 HTTP 网站视为低优先级索引对象，并在搜索结果中标注“不安全”提示。

需要注意的情况

• 局域网或内网环境（如 http://localhost、http://192.168.x.x）默认被视为安全上下文，不受上述限制；但生产环境公网域名必须使用 HTTPS 才能获得完整功能支持。
• HTTP 页面中嵌入 HTTPS 资源（如图片、CSS）属于“被动混合内容”，现代浏览器通常允许加载但会标记控制台警告；而主动混合内容（如 HTTP <script>、<iframe>）则被默认阻止，且无法通过用户手动点击绕过。
• 若网站已部署 HTTPS，但证书配置错误（如域名不匹配、过期、链路不完整），浏览器将触发更严厉的阻断式警告（如 Chrome 的全屏红色警告页），用户需主动点击“高级→继续访问”才能进入，转化率显著下降。