在安全页面上查找所有不安全的内容
查找HTTPS页面请求的所有非HTTPS URL列表的最有效方法是什么? 如果这种安全违规发生,每个浏览器警告用户,但我找不到一个简单的方法来find确切的URL导致违规。
到目前为止我发现的最简单的方法就是使用Firefox,但即使如此,它仍然不是很方便。 首先,我可以右键单击,select“查看页面信息”,单击“媒体”选项卡,然后滚动浏览URL列表。 但是,这似乎只列出图像文件,不包括CSS或JS,也可能导致错误。 对于这些,我必须使用Firebug扩展,selectnetworking选项卡,并手动将鼠标hover在每个项目上,以查看整个URL。 不幸的是,如果你有几十个媒体文件,这可能需要一段时间。 有没有更好的办法?
请注意,在最新版本的Chrome中,这些错误将显示在Javascript控制台中。
例如
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg. 你可以使用SslCheck
这是一个免费的在线工具,它recursion地抓取网站(遵循所有内部链接),扫描不安全的内容 – 图像,脚本和CSS。
(免责声明:我是开发人员之一)
使用提琴手。
安全请求根本不会显示出来(除了HTTPS CONNECT,它们可以隐藏),所以你看到的所有东西都是不好的。
我有这个问题发生在一个javascript:
/* for Internet Explorer */ /*@cc_on @*/ /*@if (@_win32) document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>"); (.....)
应该避免src = javascript:void(0)。
您无法使用Fiddler或Chromefind此问题。
最近有相同的问题,使用铬开发人员的工具,它更容易find..在开发人员工具转到安全选项卡,你可以find所有非https请求
使用Burp Suite ,将范围设置为您的网站,浏览到安全页面并检查向您的网站的HTTP版本发出的请求。
如果您拥有该网站,则应查看Content-Security-Policy标题选项。 这些可以包括在资源上强制HTTPS,或者自动尝试将HTTP资源redirect到HTTPS等等。
值得注意的是,还有一个report-uri指令,用来报告你的CSP违规行为。 这意味着,任何支持report-uri浏览器都会向您发送网站页面的报告, 并且持续存在问题的HTTPS 。 Mozilla开发者networking有一个处理报告的PHP例子。
1请注意,如果您可以合理地期望任何具有完整CSP支持的浏览器访问相关页面,则某些浏览器不支持该页面并不重要。
在这个问题出现时,我只想留下一个关于发生在我身上的事情。
突然我的域名显示“混合:不安全项目”。 我根本找不到原因。 控制台刚刚显示正在请求的图像: http://www.example.com/ : http://www.example.com/ ,我找不到任何地方的任何参考。
我search和search,最终发现,在Chrome的安全标签,它显示“不安全的内容”,它说'显示在networking选项卡'。 当我点击它时,它再次向我展示了错误的URL,除了Initiatior列之外没有任何信息。 这是显示图片footer_bg.jpg 。
有人注入代码到我的页脚背景图像我想知道? 结果不是,我昨天无意中移动了那个图像,忘了它。 所以页面请求的图片不在那里,返回一个错误。 我修复了链接到图像和页面再次安全加载。
只是为了将来可能会有这个问题的其他人。
