简而言之，就是说，虽然页面的核心是使用 https（安全）将信息发送到您的计算机，但该（安全）页面引用了不安全的元素（如图片和可能的脚本）。

攻击者不能直接更改原始页面，但可以更改不安全的元素。如果这些是图片，他们可以更改图像。如果这些是脚本，他们也可以更改它们。这样，即使核心页面是“安全的”，攻击者也可以更改您看到的内容。

正如 Michael Kjörling 在评论中指出的那样，这也会在这些请求中暴露您的一些信息 - 可能是 cookie（如果它是同一个站点/与 cookie 站点匹配/开发人员没有指定仅安全）、引荐来源网址等，其中在最好的情况下会泄露一些关于你在做什么的信息，在最坏的情况下可能会允许某些攻击。

这对 Web 开发人员来说是一种不好的做法——所有元素都应该使用安全传输。

您可以（可能）使用浏览器插件来改善您自己的情况，该插件会自动将所有对 http 的请求更新为 https。

警告意味着页面的某些被动元素（被动元素是图像、视频、音频等）已通过不安全的连接加载。没有活动内容，即可以访问您的用户名或密码（主要是脚本，也包括 iframe）的内容，已通过不安全的连接加载，因此在该页面上输入您的密码就像没有警告消息一样安全.

浏览器警告您有关被动混合内容的原因有两个。显而易见的是，攻击者可以用其他东西替换不安全的图像。更微妙的风险是，如果攻击者可以看到页面上加载了哪些图像，他们可能能够将其与加载这些图像的站点上的页面相关联，并使用它来确定您正在查看的站点上的哪个页面. 在您的情况下，这无关紧要，但对于某些站点，HTTPS 部分用于防止窃听者确定您正在查看站点的哪个部分。

如果页面是通过 HTTPS 加载的，并且有混合的活动内容，这意味着输入密码不安全，您的浏览器会自动阻止脚本，因此没有风险。如果您决定确实需要该脚本，它会非常突出地将该站点标记为不安全。

在加载不安全的内容之前：

点击“加载不安全的脚本”后：

如果 URL 开头https://并且没有明显的安全警告，则输入密码是安全的。

这意味着该网页未在 https 协议上显示其所有内容。它有一些使用http的部分。混合内容不好，这会产生您在浏览器上看到的警告，因为可以直接查看部分内容。

也许一些外部图像加载为<img src="http://somewhere.net">或一些 javascript、css 或其他。

我认为 Microsoft Edge 太自信了。:)

这意味着尽管您的数据和（大部分）站点内容是通过 SSL 隧道发送的，但该站点通过未加密的隧道加载图像。在大多数情况下，这不是一个主要问题，尽管它是开发人员绝对应该解决的问题。

但是 - “我应该登录...” - 在大多数情况下（以及在您的情况下），登录是安全的。您的数据仍将通过加密隧道发送。

您需要了解的是 - 一些资源（例如图像或脚本）是通过 HTTP 加载的，这就是问题所在：

|HTTPS|----->|大部分页面|--->|攻击者无法编辑|

|HTTP|------->|一些资源|--->|可以被攻击者编辑|