Как вы можете точно сказать, какие небезопасные элементы заставляют браузер предупреждать о смешанных безопасных и небезопасных вещах?

В Firefox я просматриваю свой сайт и не получаю никаких предупреждений о небезопасном смешанном контенте.

Используя FireBug, я вижу, что каждый запрос https.

В Chrome я вычеркнул https в адресной строке.

Chrome's address bar

Chrome's error

Я просмотрел источник в Chrome, а затем запустил это регулярное выражение /http(?!s)/, но единственными его найденными были атрибуты href для некоторых внешних ссылок, а также теги типа doc и http-equiv.

Использование отслеживания ресурсов Chrome выявило, что все запросы были https тоже.

Это включает в себя Google Analytics, jQuery из Google CDN и Facebook, такие как скрипты.

Есть ли какой-нибудь конкретный инструмент, который я могу использовать для отображения запросов не https, или что-нибудь еще, что я могу попробовать?

ОТВЕТЫ

Ответ 1

Я обнаружил, что получаю "смешанный контент" - предупреждение в Chrome, даже если смешанного содержимого нет, если в ходе сеанса уже встречался смешанный контент в домене.

(Также упоминается здесь: Почему Chrome сообщает о безопасном/небезопасном предупреждении, когда нет других браузеров?)

Ответ 2

В инструментах разработчика Chrome на вкладке "Консоль" отображаются ресурсы, которые он не будет загружать, поскольку они небезопасны.

Ответ 3

Вы можете добавить столбец "схема" на вкладку "Инструменты разработчика" Chrome, чтобы показать, какие запросы были отправлены через http или https:

  • Нажмите F12, чтобы показать инструменты разработчика.
  • Перейдите на вкладку "Сеть"
  • Щелкните правой кнопкой мыши в заголовках столбцов и выберите "Схема"
  • Загрузите страницу, чтобы показать, какие элементы загружены через http или https.

Chrome developer tools, scheme column

Ответ 4

В таких ситуациях, когда полезно видеть, какой протокол используется для загрузки ресурсов, я бы рекомендовал Fiddler2 в качестве браузера -агностическое решение, которое может показать вам, какой трафик происходит по каждому запросу.

С сайта:

Fiddler - это прокси-сервер для веб-отладки, который регистрирует весь трафик HTTP (S) между вашим компьютером и Интернетом. Fiddler позволяет вам проверять весь трафик HTTP (S), устанавливать точки останова и "скриптировать" с входящими или исходящими данными. Fiddler включает мощную подсистему сценариев на основе событий и может быть расширена с использованием любого языка .NET.

Изменить: инструменты для отладки в браузере становятся действительно хорошими, поэтому этот сторонний инструмент может быть не таким полезным, как это было, когда этот ответ был впервые написан.

Ответ 5

Откройте веб-инспектор и найдите желтый треугольник (предупреждение) в правом верхнем углу. Нажмите на него, и он отобразит все проблемы безопасности.

Ответ 6

У вас есть плагин HttpFox для FireFox? Думаю, это сработает. Среди прочего, он сообщает о URL, методе, коде результата и байтах всех активов, которые запрашивает веб-страница. Это то, что я использовал для захвата случайных графиков, отличных от HTTPS, и т.д. Я уверен, что другие предлагаемые инструменты будут делать то же самое...

Ответ 7

Вы можете использовать SslCheck

Это бесплатный онлайн-инструмент, который рекурсивно сканирует веб-сайт (следуя всем внутренним ссылкам) и сканирует на небезопасность - изображения, скрипты и CSS.

(отказ от ответственности: я один из разработчиков)

Ответ 8

Я знаю, что этот пост старый, но я наткнулся на него и имел ту же проблему. Я нажал на меню Chrome (верхний правый угол), прокручивался вниз до "Инструменты" > и "Инструменты разработчика". Нажав на вкладку "Консоль", она сообщила мне, в чем проблема: favicon был передан через http, а не https, но, конечно, это не было в исходном коде страницы. Исправлена ​​проблема с моей CMS, которая загружает значок без кода на странице... и не более ошибок!

Ответ 9

В 48-й версии хром они добавили панель безопасности. Используя его, вы можете быстро определить смешанные ресурсы контента:

введите описание изображения здесь

Ответ 10

Обратите внимание, что "смешанный контент" и "смешанный скриптинг" обнаруживаются отдельно. Проверьте этот сайт на значение значков в Chrome: https://support.google.com/chromebook/answer/95617?p=ui_security_indicator&rd=1 (нажмите ссылку "посмотреть подробности" ).

Серый значок = смешанный контент, красный значок = смешанные скрипты.