在安全页面上查找所有不安全的内容

时间:2011-01-18 20:09:08

标签: browser security browser-security

查找HTTPS页面请求的所有非HTTPS URL列表的最有效方法是什么?如果发生此类安全违规,每个浏览器都会向用户发出警报,但我找不到一种简单的方法来查找确切的网址导致违规行为。

到目前为止,我发现的最简单的方法是使用Firefox,但即便如此,它仍然不是很方便。首先,我可以右键单击,选择“查看页面信息”,单击“媒体”选项卡,然后滚动URL列表。但是,这似乎只列出图像文件,而不是CSS或JS包含,也可能导致错误。对于那些,我必须使用Firebug扩展,选择Net选项卡,并手动将鼠标悬停在每个项目上以查看整个URL。不幸的是,如果你有几十个媒体文件,这可能需要一段时间。还有更好的方法吗?

11 个答案:

答案 0 :(得分:95)

注意,在最新版本的Chrome中,这些错误将显示在Javascript控制台中。

e.g。

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

答案 1 :(得分:33)

尝试:www.WhyNoPadlock.com它会在任何https网页上为您提供所有不安全内容的报告。

答案 2 :(得分:12)

您可以使用SslCheck

这是一个免费的在线工具,可递归抓取网站(遵循所有内部链接)并扫描不安全的内容 - 图像,脚本和CSS。

(免责声明:我是开发人员之一)

答案 3 :(得分:5)

使用Fiddler。

安全请求根本不会显示(除了可以隐藏的HTTPS CONNECT之外),所以你看到的一切都很糟糕。

答案 4 :(得分:5)

我遇到了这个问题,发生在javascript:

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

应避免使用src = javascript:void(0)。

使用Fiddler或Chrome无法找到此问题。

答案 5 :(得分:5)

最近有同样的问题,使用Chrome开发工具更容易找到..在开发人员工具中转到安全标签,您可以找到所有非https请求

enter image description here

答案 6 :(得分:2)

如果您拥有该网站,则应该查看the Content-Security-Policy header options.这些内容可以包括forcing HTTPS on resources,或自动尝试redirect HTTP resources to HTTPS,等。

值得注意的是,对于密切相关的report-uri,还有一个Content-Security-Policy-Report-Only header指令会将您的CSP的任何违规行为报告给您选择的uri。这意味着,对report-uri支持 1 的任何浏览器都会向您发送网站上包含有问题的HTTPS 的网页报告。 Mozilla Developer Network { {3}}处理报告。

1 请注意,如果您可以合理地期望具有完全CSP(RO)支持的任何浏览器能够访问相关页面,那么某些页面并不重要浏览器不支持它。

答案 7 :(得分:0)

使用Burp Suite,将范围设置为您的网站,浏览到安全页面并检查对您网站的HTTP版本发出的请求。

答案 8 :(得分:0)

我只想留下一个关于这个问题出现时发生在我身上的事情的说明。

突然,我的域名显示为“混合:不安全的项目”。我根本无法找到原因。控制台刚刚显示正在请求的图像:http://www.example.com/,我无法找到任何任何地方的引用。

我进行了搜索和搜索,最终在Chrome的“安全”标签中找到了显示“不安全内容”的位置&#39;它说&#39;在网络标签显示&#39;。当我点击它时,它再次向我显示了错误的网址,除了 Initiatior 列之外没有任何信息。它显示图像footer_bg.jpg

如果有人将代码注入我的页脚背景图片中,我想知道吗?结果没有,我昨天无意中移动了那张图片并忘了它。因此页面请求的图像不存在,返回错误。我修复了图像的链接,并再次安全地加载页面。

仅限其他可能在将来遇到此问题的人。

答案 9 :(得分:0)

您可以选中https://www.missingpadlock.com/

是用于抓取您的网站以查找不安全页面的在线工具。

答案 10 :(得分:0)

如果要对整个网站进行一次一次性,全面,递归的扫描,则可以从CLI使用Bramus的mixed-content-scan。它不会检查补充性JS / CSS中的链接,但是对于发现3年前的实习生提出了一个危险的非SSL脚本的帖子非常有用。

有关正在进行的解决方案,请参见my other answer