为什么全屏API受到限制？

全屏API允许恶意网站模仿Web浏览器和操作系统的用户界面。虽然这对于有经验的用户来说可能是可见的，但新手计算机用户可能无法区分假UI和真实UI。在移动操作系统上，这种效果更加明显，因为系统UI非常简洁且非常可预测。

潜在的攻击可能是在进入全屏模式时呈现正常的网站/游戏，同时模仿浏览器chrome。当用户输入新URL或打开新标签页时，内容和浏览器/操作系统UI就完全受到攻击者控制。

例如，该网站可能会向您发送电子邮件，然后伪造您的Gmail Web界面登录，绿色的挂锁等，以窃取您的电子邮件凭据。高级攻击甚至可以进入普通全屏（没有任何UI）并提供一个假的“退出全屏”按钮。

由于这些原因，Web浏览器通过每个来源的配置来限制全屏API。通常，在第一次进入全屏时，浏览器会询问您是否可以。如果您确认，Web浏览器将在下一次不提供反馈的情况下允许该来源进入全屏。

另一个常见的限制是无法在页面加载时进入全屏，而需要用户交互。

为什么需要HTTPS来维护限制？

假设有一个使用全屏API的流行游戏网站通过HTTP。那么存在一个明显的安全漏洞：每个攻击者都可以通过将任何未加密请求重定向到该网站，然后渲染自己的攻击者代码来进入全屏。
虽然罪犯攻击者很少（但肯定不是不可能），但有多个国家赞助的攻击者甚至试图伪造TLS证书。
视频、游戏和所有休闲全屏Web应用程序是否也需要HTPS？
如果您希望您的网站在具有审查和/或JavaScript注入攻击网络中可访问，则无论如何都需要使用HTTPS。

由于获得TLS证书不需要任何费用, 加密的开销可以忽略不计，而且不安全的网站将在不久的将来生成浏览器警告, 因此答案是:

是的，所有网站都需要使用HTTPS。