是的，有风险。

HTTPS 不仅确保机密性，还确保完整性和真实性。因此，攻击者可以劫持您和服务器之间的连接，并将恶意 JavaScript 注入您的会话。

发生这种情况的可能性有多大？

取决于您如何连接到服务器。如果你在自己家里，那么可能性不是很大。这仍然是一个风险，不要误会我的意思，但我不想引起不必要的偏执。

另一方面，如果您连接到公共接入点（例如“免费麦当劳 Wifi”），那么发生这种情况的机会要高得多。

这有多严重？

由于那里没有敏感数据，因此凭证窃取或会话劫持之类的“常见”事情不适用。但是，根据攻击者的决心，他们可能会将您重定向到其他恶意域，利用浏览器漏洞，让您下载内容，甚至让您披露其他服务的凭据（例如，“使用您的 Google、Twitter 或 Facebook 登录帐户玩”）。

正如 Eilon 在评论中指出的那样，另一个可能不需要的副作用是您的 ISP 可以篡改您使用的网站。一些 ISP 这样做是出于可以说是良性的目的，例如在将 HTML 文档发送给您之前从 HTML 文档中去除空格，而其他 ISP 则进行更多“侵入性”更改，例如压缩图像，甚至将广告注入网站。虽然这本身不是安全风险，但这是可以通过使用 HTTPS 最有效地打击的有害行为。

这是否意味着你应该停止玩？

这完全取决于您的风险偏好，以及对您个人而言，好处是否大于坏处。

浏览器沙箱中攻击者控制的 javascript

如果您在该站点中没有任何敏感或有价值的数据或输入，恕我直言，主要风险是由于它使用 HTTP，攻击者可以冒充站点所有者并注入恶意 javascript。它可以造成的损害受到浏览器沙箱的限制，但它确实产生了至少以下风险：

1. 静默重定向到欺骗页面

一种粗略但有效的网络钓鱼方法是等待选项卡变为非活动状态，然后重定向到欺骗性网络钓鱼页面，上面写着“您的电子邮件/Facebook/任何会话已过期，请重新登录” - 如果用户有许多过时的标签（很多都有），然后他们可以合理地相信他们确实在那里打开了该服务，并且它刚刚过期，并在那里输入他们的凭据。

2. 当地资源的枚举和开发

这样的 Javascript 可以尝试建立网络连接，否则会被家庭路由器上的防火墙或简单 NAT 阻止，因为它们不是直接来自攻击者，而是来自用户工作站。例如，开源 BeEF 工具包 ( https://beefproject.com/ ) 有一些概念验证模块试图探索这一点。如果您的本地网络中有不安全的服务可通过 http 访问（例如，易受攻击的本地应用程序或打印机或路由器配置页面），但无法从公共互联网访问，则恶意 javascript 可能会将您带到那里。

3. 突破沙盒

有时，浏览器漏洞会允许恶意 javascript（或其他网站提供的内容）“突破沙箱”并实现任意代码执行。这些是罕见的，但它们确实存在。

值得注意的是，所有这些都是您访问的任何网站都可以完成的事情 - 因此，与访问由您不信任的人托管的 https 页面相比，使用 http 不会产生额外的风险。因此，如果您愿意在互联网上打开包含有趣内容的随机链接，那么这属于您的风险状况；但是，如果您想将浏览限制在特定的知名、有些受信任的网站，那么使用 http 意味着您可能不一定会获得您想要的网站，而是有人冒充该网站。

https 用于加密数据，例如信用卡信息或其他敏感数据，总是有可能有人在中间并记录您的鼠标移动，但我认为这不应该引起关注，什么可以攻击者可能知道您以特定方式移动鼠标？我怀疑有人会浪费时间去做那件事。您当然不应该将个人信息放入其中，因为它不安全。如果这款游戏能让你感觉更好的话，它也是几年前流行起来的一款应用。