크롬 안전하지 않은 정보를 제출하려 함 에러 문제와 임시해결책

크롬 안전하지 않은 정보를 제출하려 함 에러 문제와, flag 값 disable을 통한 임시해결책을 작성해둡니다.

 

http -> https -> http 로의 인증(SAML)이 필요하여 테스트중

크롬에서 아래와 같이 "안전하지 않은 정보를 제출하려 함" 이라는 에러가 발생하였습니다.

 

사내 캡쳐가 안되서 구글에서 동일한 에러 사진을 가져왔습니다 ㅠ

 

크롬에서 https -> http 호출에 대해서 보안 문제로 에러가 발생하도록 업데이트를 한것으로 보입니다.

 

해당 내용에 대해서 크로미움에 이슈가 올라와 있어, 좀 확인을 해 봤습니다.

이슈가 올라온 날이 2020/12/13 인데, 이쯤 해당 Warning에 대해 업데이트가 된 것으로 보입니다.

1158169 - Form is not Secure issue on new version fo chrome (chromium.org)

1158169 - chromium - An open-source project to help move the web forward. - Monorail

 

중간에 크로미움 담당자의 코멘트를 보니

해당 문제에 대해서 영향도가 생각보다 커서 롤백을 하고 다시 Chrome 88에서 적용을 한다고 합니다.

해당 이슈의 마지막 코멘트가 21/02/19였으니 현재는 패치가 되어있겠네요.

 

Comment 147 by carlosil@chromium.org on Wed, Dec 16, 2020, 2:50 AM GMT+9

After considering the unexpectedly large impact this change had on form submissions that involve redirects through HTTP sites, we have decided to roll back the change for Chrome 87. We expect the configuration to be out later today, at which point it will take effect on the next Chrome restart. I'll ping this bug with updates.

We are planning to re-enable the warnings in Chrome 88 (tentatively going to stable on January 19, 2021), but warning only on forms that directly submit to http://, or that redirect to http:// with the form data preserved through the redirect, so it won't trigger for the cases mentioned in this bug where the http:// hop didn't carry the form data.

That being said, I still encourage sites to keep https:// throughout the whole redirect chain, as http:// steps still compromise user privacy (by exposing the form target location) even if no form data is being exposed.

Apologies for the issues caused by this new warning.

 

 

 

다행히 이슈 코멘트 중 flag 수정에 관한 내용이 있어, 해당 내용을 통해 우선 문제를 해결 할 수 있었습니다.

Mixed forms interstitial 이라는 flag를 Disable하면, 해당 Warning이 발생하지 않습니다.

 

1. 크롬 주소창에 chrome://flags/#mixed-forms-interstitial 을 입력하여 해당 flag로 이동합니다.

2. 오른쪽의 화살표 클릭 후, Default -> Disabled로 변경합니다.

3. 하단의 바에 Relaunch가 나오면, 클릭하여 크롬을 Relaunch합니다. (flag 적용을 위해)

 

 

그 후 다시 테스트를 하니 해당 Warning 창 없이 바로 이동됩니다.

다만 일단 테스트용으로 이렇게 flag를 주고 하긴 했지만, SSL 적용해서 https를 쓰는게 맞는듯합니다.

 

 

저와 비슷하게 OAuth에서 동일 에러가 발생한 케이스가 있었는데, 이분은 https로 전환하는걸로 작성하셨습니다.

-> Chrome 안전하지 않은 정보를 제출하려 함, http, https 혼합 사용 구성 문제 (tistory.com)

 

 

 

추가)

위의 방법으로 안되는 경우, 아래와 같이 Secure Payment Confirmation flag를 수정하는 방법도 있다고 합니다.

 

1. 크롬 주소창에 chrome://flags/#enable-debug-for-secure-payment-confirmation 을 입력하여 해당 flag로 이동합니다.

2. 오른쪽의 화살표 클릭 후, Default -> Disabled로 변경합니다.

3. 하단의 바에 Relaunch가 나오면, 클릭하여 크롬을 Relaunch합니다. (flag 적용을 위해)

 

 

 

추가내용의 출저는 아래 블로그입니다.

행복한거 하기에도 시간이 부족해 :: 안전하지 않은 정보를 제출하려함(크롬) (tistory.com)