查找HTTPS页面请求的所有非HTTPS URL列表的最有效方法是什么?如果发生此类安全违规,每个浏览器都会向用户发出警报,但我找不到一种简单的方法来查找确切的网址导致违规行为。
到目前为止,我发现的最简单的方法是使用Firefox,但即便如此,它仍然不是很方便。首先,我可以右键单击,选择“查看页面信息”,单击“媒体”选项卡,然后滚动URL列表。但是,这似乎只列出图像文件,而不是CSS或JS包含,也可能导致错误。对于那些,我必须使用Firebug扩展,选择Net选项卡,并手动将鼠标悬停在每个项目上以查看整个URL。不幸的是,如果你有几十个媒体文件,这可能需要一段时间。还有更好的方法吗?
答案 0 :(得分:95)
注意,在最新版本的Chrome中,这些错误将显示在Javascript控制台中。
e.g。
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
答案 1 :(得分:33)
尝试:www.WhyNoPadlock.com它会在任何https网页上为您提供所有不安全内容的报告。
答案 2 :(得分:12)
答案 3 :(得分:5)
使用Fiddler。
安全请求根本不会显示(除了可以隐藏的HTTPS CONNECT之外),所以你看到的一切都很糟糕。
答案 4 :(得分:5)
我遇到了这个问题,发生在javascript:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)
应避免使用src = javascript:void(0)。
使用Fiddler或Chrome无法找到此问题。
答案 5 :(得分:5)
答案 6 :(得分:2)
如果您拥有该网站,则应该查看the Content-Security-Policy
header options.这些内容可以包括forcing HTTPS on resources,或自动尝试redirect HTTP resources to HTTPS,等。
值得注意的是,对于密切相关的report-uri
,还有一个Content-Security-Policy-Report-Only
header指令会将您的CSP的任何违规行为报告给您选择的uri。这意味着,对report-uri
支持 1 的任何浏览器都会向您发送网站上包含有问题的HTTPS 的网页报告。 Mozilla Developer Network { {3}}处理报告。
1 请注意,如果您可以合理地期望具有完全CSP(RO)支持的任何浏览器能够访问相关页面,那么某些页面并不重要浏览器不支持它。
答案 7 :(得分:0)
使用Burp Suite,将范围设置为您的网站,浏览到安全页面并检查对您网站的HTTP版本发出的请求。
答案 8 :(得分:0)
我只想留下一个关于这个问题出现时发生在我身上的事情的说明。
突然,我的域名显示为“混合:不安全的项目”。我根本无法找到原因。控制台刚刚显示正在请求的图像:http://www.example.com/
,我无法找到任何任何地方的引用。
我进行了搜索和搜索,最终在Chrome的“安全”标签中找到了显示“不安全内容”的位置&#39;它说&#39;在网络标签显示&#39;。当我点击它时,它再次向我显示了错误的网址,除了 Initiatior 列之外没有任何信息。它显示图像footer_bg.jpg
。
如果有人将代码注入我的页脚背景图片中,我想知道吗?结果没有,我昨天无意中移动了那张图片并忘了它。因此页面请求的图像不存在,返回错误。我修复了图像的链接,并再次安全地加载页面。
仅限其他可能在将来遇到此问题的人。
答案 9 :(得分:0)
您可以选中https://www.missingpadlock.com/
是用于抓取您的网站以查找不安全页面的在线工具。
答案 10 :(得分:0)
如果要对整个网站进行一次一次性,全面,递归的扫描,则可以从CLI使用Bramus的mixed-content-scan
。它不会检查补充性JS / CSS中的链接,但是对于发现3年前的实习生提出了一个危险的非SSL脚本的帖子非常有用。
有关正在进行的解决方案,请参见my other answer。