在安全页面上查找所有不安全的内容

Question

找到HTTPS页面要求的所有非HTTPS URL列表的最有效方法是什么？如果发生这种安全性违规，每个浏览器都会提醒用户，但是我找不到一种简单的方法来找到确切的URL导致违规行为。

到目前为止，我发现的最简单方法是使用Firefox，但即使如此，它仍然不是很方便。首先，我可以右键单击，选择查看页面信息，单击“媒体”选项卡，然后滚动浏览URL列表。但是，这似乎只列出了图像文件，而不包括CSS或JS包含的也可能导致错误。对于这些，我必须使用Firebug扩展名，选择“ Net”选项卡，然后手动将鼠标悬停在每个项目上以查看整个URL。不幸的是，如果您有数十个媒体文件，这可能需要一段时间。有没有更好的办法？

Answer 1

注意，在最近版本的Chrome中，这些错误将显示在JavaScript控制台中。

例如

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

Answer 2

尝试： www.whynopadlock.com 它将为您提供任何HTTPS网页上所有不安全内容的报告。

Answer 3

您可以使用 sslcheck

这是一个免费的在线工具，可递归（遵循所有内部链接）并扫描不安全内容 - 图像，脚本和CSS。

（免责声明：我是开发人员之一）

Answer 4

最近有同样的问题，使用Chrome Developer工具，更容易找到。 安全 标签，您可以找到所有非HTTPS请求

Answer 5

使用提琴手。

安全的请求根本不会显示（除了HTTPS连接外，可以隐藏的），因此您会看到的一切都不好。

Answer 6

我遇到了这个问题，该问题发生在JavaScript中：

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

src = javaScript：应避免void（0）。

您找不到使用Fiddler或Chrome的问题。

Answer 7

您可以检查 https://www.missingpadlock.com/

是用于查找不安全页面的网站的在线工具。

Answer 8

如果您拥有该网站，则应调查 这 Content-Security-Policy 标题选项。 这些可以包括 强迫HTTPS上的资源， 或自动尝试 将http资源重定向到https， 除其他事项外。

值得注意的是，还有一个 report-uri 密切相关的指令 Content-Security-Policy-Report-Only 标题 这将CSP的任何违规行为报告给您选择的URI。这意味着任何有支持的浏览器¹ 为了 report-uri 会给您带来有问题的HTTPS上网站上页面的报告 在现有基础上。 Mozilla开发人员网络有 一个PHP示例 处理报告。

---

¹ 请注意，如果您可以合理地期望 任何 具有完整CSP（RO）支持的浏览器以打入有关页面，有些浏览器没有支持它并不重要。

Answer 9

我只想留下关于这个问题出现时发生的事情的注释。

突然，我的域显示了“混合：不安全的物品”。我根本找不到原因。该控制台只是显示了正在要求的图像： http://www.example.com/, ，我找不到任何参考 任何地方.

我进行了搜索和搜索，并最终发现在Chrome的“安全性”选项卡中，它显示了“不安全内容”，它说“在网络选项卡中显示”。当我单击它时，它再次向我展示了不良URL，除了没有任何信息 主持人 柱子。它显示了图像 footer_bg.jpg.

我想知道有人将代码注入我的页脚背景图像吗？原来不，我昨天无意中移动了这张图像，忘记了它。因此，该页面要求不存在的图像，返回错误。我将链接修复到图像，页面再次加载。

仅适用于将来可能会有这个问题的其他人。

Answer 10

利用 Burp Suite, ，将范围设置为您的网站，请浏览安全页面，然后检查对您网站的HTTP版本提出的请求。

Answer 11

如果您想对整个网站进行一次镜头，相当合理的递归扫描，可以使用Bramus的 mixed-content-scan 来自CLI。它不会检查补充JS/CSS中的链接，但很棒的是发现3年前实习生的一篇文章张贴了危险的非SSL脚本。

为 正在进行 解决方案，请参阅 我的另一个答案.