Поиск всего небезопасного контента на защищенной странице

Ответ 1

Обратите внимание, что в последних версиях Chrome эти ошибки будут отображаться в консоли Javascript.

например.

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

Ответ 2

Попробуйте: www.WhyNoPadlock.com Он предоставит вам отчет обо всех небезопасных материалах на любой веб-странице https.

Ответ 3

Вы можете использовать SslCheck

Это бесплатный онлайн-инструмент, который рекурсивно сканирует веб-сайт (после всех внутренних ссылок) и сканирует небезопасный контент - изображения, скрипты и CSS.

(отказ от ответственности: я один из разработчиков)

Ответ 4

Используйте Fiddler.

Защищенные запросы не будут отображаться вообще (кроме как HTTPS CONNECT, которые могут быть скрыты), поэтому все, что вы увидите, плохо.

Ответ 5

У меня была эта проблема, которая произошла в javascript:

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

Следует избегать src= javascript: void (0).

Вы не можете найти эту проблему, используя Fiddler или Chrome.

Ответ 6

Недавно возникла та же проблема, с помощью инструмента разработчика Chrome его было легче найти. В инструменте разработчика перейдите на вкладку Безопасность, вы можете найти все запросы не https

Ответ 7

Если у вас есть веб-сайт, вы должны изучить параметры заголовка Content-Security-Policy. Они могут включать принудительное HTTPS на ресурсах, или автоматически пытается перенаправить ресурсы HTTP на HTTPS, среди других вещи.

Примечательно, что существует также report-uri директива для тесно связанной Content-Security-Policy-Report-Only, в котором сообщается о любых нарушениях вашего CSP к выбранному вами uri. Это означает, что любой браузер с поддержкой ¹ для report-uri будет отправлять вам отчеты о страницах вашего сайта с проблемными HTTPS на постоянной основе. В Mozilla Developer Network пример PHP для обработки отчетов.

¹ Обратите внимание: если вы можете разумно ожидать, что любой браузер с полной поддержкой CSP (RO) попадет на страницы, о которых идет речь, не имеет значения, что некоторые браузеры не поддерживают его.

Ответ 8

Я просто хочу оставить записку о том, что случилось со мной, когда эта проблема возникла.

Неожиданно мой домен показал "Mixed: Insecure Items". Я не мог найти причину. Консоль просто показывала, что изображение запрашивалось: http://www.example.com/, который я не мог найти нигде в любом месте.

Я искал и искал и, в конце концов, обнаружил, что на вкладке "Безопасность" в Chrome, где он показывал "Insecure Content", он сказал "Показать в сетевой вкладке". Когда я щелкнул это, он показывал мне плохой URL, опять же, без информации, кроме столбца Инициатив. Он показывал изображение footer_bg.jpg.

Если бы кто-то ввел код в фоновое изображение нижнего колонтитула, я подумал? Оказывается, нет, я нечаянно перебрал этот образ вчера и забыл об этом. Таким образом, страница запрашивала изображение, которого там не было, возвращая ошибку. Я установил ссылку на изображение, и страница загрузится снова.

Просто для всех, у кого может возникнуть эта проблема в будущем.

Ответ 9

Вы можете проверить https://www.missingpadlock.com/

Это онлайн-инструмент для сканирования вашего сайта для поиска небезопасных страниц.

Ответ 10

Используйте Burp Suite, настройте область действия как свой веб-сайт, перейдите на защищенную страницу и проверьте, какой запрос сделан в HTTP-версии вашего сайт.

Ответ 11

Если вы хотите однократное, достаточно комплексное, рекурсивное сканирование всего веб-сайта, вы можете использовать Bramus mixed-content-scan из CLI. Он не будет проверять ссылки в дополнительном JS/CSS, но он отлично подходит для поиска того поста, который стажер 3 года назад выложил с помощью опасного сценария без SSL.

Для текущего решения см. Мой другой ответ.