Как вы можете точно определить, какие незащищенные элементы заставляют браузер предупреждать о смешанных защищенных и незащищенных элементах?

Question

В Firefox я просматриваю свой сайт и не получаю предупреждений о небезопасном смешанном контенте.

Используя FireBug, я вижу, что каждый запрос https.

В Chrome я вычеркнул https в адресной строке.

Я просмотрел источник в Chrome, а затем запустил это регулярное выражение /http(?!s)/, но были обнаружены только атрибуты href для некоторых внешних ссылок, тип документа и http-equiv метатеги.

Использование Chrome Отслеживание ресурсов показало, что все запросы были https тоже.

Это включает в себя Google Analytics, jQuery из CDN Google и сценарии, подобные Facebook.

Можно ли использовать какой-либо конкретный инструмент для отображения не https запросов или еще что-нибудь, что я могу попробовать?

Answer 1

Я обнаружил, что получаю предупреждение "смешанное содержимое" в Chrome, даже если смешанного содержимого нет, если иногда во время сеанса смешанное содержимое уже встречалось в домене.

(Также упоминается здесь: Почему Chrome сообщает о безопасном / небезопасном предупреждении, когда нет других браузеров? )

Answer 2

В инструментах разработчика Chrome на вкладке «Консоль» отображаются ресурсы, которые не будут загружаться из-за незащищенности.

Answer 3

Вы можете добавить столбец «схема» на вкладку сети инструментов разработчика Chrome, чтобы показать, какие запросы были отправлены через http или https:

1. Нажмите F12, чтобы показать инструменты разработчика
2. Перейти на вкладку Сеть
3. Щелкните правой кнопкой мыши заголовки столбцов и выберите «Схема»
4. Перезагрузите страницу, чтобы показать, какие элементы загружены через http или https

Answer 4

В подобных ситуациях, когда полезно точно узнать, какой протокол используется для загрузки ресурсов, я бы порекомендовал Fiddler2 в качестве независимого от браузера решения, которое может точно показать, какой трафик происходит при каждом запросе..

С сайта:

Fiddler - прокси-сервер отладки в Интернете, который регистрирует весь трафик HTTP (S) между вашим компьютером и Интернетом.Fiddler позволяет вам проверять весь трафик HTTP (S), устанавливать точки останова и «возиться» с входящими или исходящими данными.Fiddler включает мощную подсистему сценариев на основе событий и может быть расширена с использованием любого языка .NET.

Edit : инструменты отладки в браузере становятся действительно хорошими, так что это третьеПартийный инструмент может быть не таким полезным, как это было, когда этот ответ был впервые написан.

Answer 5

В 48-й версии Chrome добавлена ​​ панель безопасности . С его помощью вы можете быстро определить ресурсы смешанного контента:

Answer 6

Откройте веб-инспектор и найдите желтый треугольник (предупреждение) в правом верхнем углу.Нажмите на него, и он покажет все проблемы безопасности.

Answer 7

Вы можете использовать SslCheck

Это бесплатный онлайн-инструмент, рекурсивно сканирующий веб-сайт (по всем внутренним ссылкам) и сканирующий небезопасные включения - изображения, сценарии и CSS.

(отказ от ответственности: я один из разработчиков)

Answer 8

Есть ли у вас плагин HttpFox для FireFox?Это сработает, я думаю.Помимо прочего, он сообщает об URL, методе, коде результата и байтах всех ресурсов, запрашиваемых веб-страницей.Это то, что я использовал для отлова случайной графики, отличной от HTTPS, и т. Д. Я уверен, что другие предложенные инструменты будут делать то же самое ...

Answer 9

Я знаю, что этот пост старый, но я столкнулся с ним и имел ту же проблему. Я щелкнул меню Chrome (верхний правый угол), прокрутил вниз до Tools> и выбрал Developer Tools. Нажмите на вкладку «Консоль», и она точно сказала мне, в чем проблема ... значок был передан через http, а не через https, но, конечно, его не было в исходном коде страницы. Исправлена ​​проблема в моей CMS, которая загружает значок без кода на странице ... и больше ошибок нет!

Answer 10

Обратите внимание, что «смешанный контент» и «смешанный сценарий» обнаруживаются отдельно.Проверьте этот сайт на предмет значков в Chrome: https://support.google.com/chromebook/answer/95617?p=ui_security_indicator&rd=1 (нажмите ссылку «Подробнее»).

Серый значок = смешанный контент, красный значок = смешанный сценарий.