安全なページですべての不安定なコンテンツを見つける

Question

HTTPSページで要求されたすべての非HTTPS URLのリストを見つける最も効率的な方法は何ですか？この種のセキュリティ違反が発生した場合、すべてのブラウザはユーザーに警告しますが、正確なURLが違反を引き起こす簡単な方法を見つけることはできません。

私がこれまでに見つけた最も簡単な方法は、Firefoxを使用することですが、それでもそれはまだあまり便利ではありません。まず、右クリックして[ページ情報の表示]を選択し、[メディア]タブをクリックして、URLのリストをスクロールできます。ただし、これは画像ファイルのみをリストしているようであり、エラーを引き起こす可能性のあるCSSまたはJSに含まれるものではありません。それらのためには、FireBug拡張機能を使用し、[ネット]タブを選択し、各アイテムの上にマウスを手動でホバリングして、URL全体を表示する必要があります。残念ながら、何十ものメディアファイルがある場合、これにはしばらく時間がかかります。より良い方法はありますか？

Answer 1

注、最近のバージョンのChromeでは、これらのエラーがJavaScriptコンソールに表示されます。

例えば

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

Answer 2

試す： www.whynopadlock.com HTTPS Webページにあるすべての安全なコンテンツのレポートが提供されます。

Answer 3

使用できます sslcheck

これは、ウェブサイトを再帰的に（すべての内部リンクに従って）クロールし、画像、スクリプト、CSS（スクリプト、CSS）をスキャンする無料のオンラインツールです。

（免責事項：私は開発者の一人です）

Answer 4

最近同じ問題があり、Chrome開発者ツールを使用して見つけるのが簡単でした。開発者ツールでは 安全 タブ、すべての非HTTPSリクエストを見つけることができます

Answer 5

フィドラーを使用してください。

安全なリクエストはまったく表示されません（HTTPSが接続されている場合、非表示になる可能性がある場合を除く）。

Answer 6

JavaScriptで発生したこの問題がありました。

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

src = javascript：void（0）は避ける必要があります。

FiddlerまたはChromeを使用してこの問題は見つかりません。

Answer 7

確認してもいい https://www.missingpadlock.com/

安全でないページを見つけるためのサイトをクロールするためのオンラインツールです。

Answer 8

あなたがウェブサイトを所有しているなら、あなたは調べるべきです Content-Security-Policy ヘッダーオプション。 これらを含めることができます リソースにHTTPSを強制する、 または自動的に試みます HTTPリソースをHTTPSにリダイレクトし、 とりわけ。

特に、aもあります report-uri 密接に関連する指令 Content-Security-Policy-Report-Only ヘッダ それはあなたの選択したURIにあなたのCSPの違反を報告します。これは、サポート付きのブラウザを意味します¹ にとって report-uri 問題のあるhttpsでサイトのページのレポートを送信します 継続的に。 Mozilla開発者ネットワークにはあります PHPの例 レポートの処理の。

---

¹ 合理的に期待できる場合は注意してください どれか 完全なCSP（RO）サポートを備えたブラウザ問題のページをヒットするには、一部のブラウザにサポートがないことは関係ありません。

Answer 9

この問題が発生したときに何が起こったのかについてメモを残したいだけです。

突然、私のドメインは「混合：不安定なアイテム」を示しました。原因はまったく見つかりませんでした。コンソールは、画像が要求されていることを示していました。 http://www.example.com/, 、それを参照できませんでした どこでも.

私は検索して検索し、最終的にはChromeのセキュリティタブで、「不安定なコンテンツ」と表示されている「ネットワークタブでショー」と表示されていることがわかりました。私がそれをクリックしたとき、それは私に悪いURLを見せていました、再び、 初期的 桁。画像が表示されていました footer_bg.jpg.

誰かが私のフッターの背景画像にコードを注入していましたか？いいえ、私は昨日そのイメージを誤って動かして、それを忘れていました。そのため、ページはそこにない画像をリクエストし、エラーを返していました。画像へのリンクを修正し、ページロードを安全に再びロードしました。

将来この問題を抱える可能性のある他の人のためだけです。

Answer 10

使用する げっぷスイート, 、スコープをWebサイトとして設定し、安全なページを閲覧し、WebサイトのHTTPバージョンにどのリクエストが作成されているかを確認します。

Answer 11

Webサイト全体のワンショット、合理的に包括的な、再帰スキャンが必要な場合は、Bramusを使用できます mixed-content-scan CLIから。補足JS/CSSのリンクをチェックしませんが、3年前のインターンが危険な非SSLスクリプトを掲載した投稿を見つけるのに最適です。

のために 進行中 解決策を参照してください 私の他の答え.