Поиск всего небезопасного контента на защищенной странице

Question

Какой самый эффективный способ найти список всех не-HTTPS-URL, запрашиваемых HTTPS-страницей? Если происходит такое нарушение безопасности, каждый браузер предупреждает пользователя, но я не могу найти простой способ найти, какие именно URL-адреса вызывают нарушение.

Самый простой способ, который я нашел на данный момент, - это использовать Firefox, но даже тогда он все еще не очень удобен. Сначала я могу щелкнуть правой кнопкой мыши, выбрать «Просмотр информации о странице», перейти на вкладку «Медиа» и прокрутить список URL-адресов. Тем не менее, это, кажется, только список файлов изображений, но не CSS или JS, которые также могут вызвать ошибку. Для этого мне нужно использовать расширение Firebug, выбрать вкладку «Сеть» и вручную навести указатель мыши на каждый элемент, чтобы увидеть весь URL. К сожалению, это может занять некоторое время, если у вас есть десятки медиа-файлов. Есть ли лучший способ?

Answer 1

Обратите внимание, что в последних версиях Chrome эти ошибки будут отображаться в консоли Javascript.

например

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

Answer 2

Попробуйте: www.WhyNoPadlock.com Это даст вам отчет обо всем небезопасном контенте на любой странице https.

Answer 3

Вы можете использовать SslCheck

Это бесплатный онлайн-инструмент, который рекурсивно сканирует сайт (по всем внутренним ссылкам) и сканирует небезопасный контент - изображения, скрипты и CSS.

(отказ от ответственности: я один из разработчиков)

Answer 4

Недавно возникла та же проблема: с помощью инструмента разработчика Chrome его было легче найти. В инструменте разработчика перейдите на вкладку Безопасность , где можно найти все запросы, отличные от https

Answer 5

У меня была эта проблема, которая произошла в JavaScript:

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

Следует избегать src = javascript: void (0).

Вы не можете найти эту проблему, используя Fiddler или Chrome.

Answer 6

Использовать Fiddler.

Защищенные запросы вообще не будут отображаться (за исключением HTTPS CONNECT, которые могут быть скрыты), поэтому все, что вы увидите, плохо.

Answer 7

Если вы являетесь владельцем веб-сайта, вам следует изучить параметры заголовка Content-Security-Policy. Они могут включать принудительное использование HTTPS для ресурсов, или автоматическую попытку перенаправить ресурсы HTTP. HTTPS, между прочим.

В частности, существует также директива report-uri для тесно связанного Content-Security-Policy-Report-Only заголовка , которая сообщает о любых нарушениях вашего CSP в Uri по вашему выбору. Это означает, что любой браузер с поддержкой ¹ для report-uri будет постоянно отправлять вам отчеты о страницах вашего сайта с проблемным HTTPS . Сеть разработчиков Mozilla имеет PHP пример обработки отчетов.

---

¹ Обратите внимание, что если вы можете разумно ожидать, что любой браузер с полной поддержкой CSP (RO) попадет на страницы, о которых идет речь, не имеет значения, что некоторые браузеры не имеют поддержка для этого.

Answer 8

Вы можете проверить https://www.missingpadlock.com/

Это онлайн-инструмент для сканирования вашего сайта для поиска небезопасных страниц.

Answer 9

Я просто хочу оставить записку о том, что случилось со мной, когда возникла эта проблема.

Внезапно в моем домене появилось сообщение «Смешанные: небезопасные элементы». Я не мог найти причину вообще. Консоль просто показывала, что запрашивается изображение: http://www.example.com/, который я не могу найти нигде для ссылки .

Я искал, искал и в итоге обнаружил, что на вкладке «Безопасность» Chrome, где он отображал «небезопасный контент», было написано «Показать на вкладке сети». Когда я нажал на это, он снова показывал мне неверный URL, без информации, кроме столбца Initiatior . Он показывал изображение footer_bg.jpg.

Интересно, кто-то вставил код в мое фоновое изображение нижнего колонтитула? Оказывается нет, я вчера случайно переместил это изображение и забыл об этом. Таким образом, страница запрашивала изображение, которого там не было, возвращая ошибку. Я исправил ссылку на изображение и снова загрузил страницу.

Только для тех, у кого эта проблема может возникнуть в будущем.

Answer 10

Используйте Burp Suite , настройте область в качестве своего веб-сайта, перейдите на защищенную страницу и проверьте, какой запрос сделан к HTTP-версии вашего веб-сайта.