在安全页面上查找所有不安全的内容

请注意，在最新版本的Chrome中，这些错误将显示在Javascript控制台中。

EG

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

使用Burp Suite，将范围设置为您的网站，浏览到安全页面并检查对您网站的HTTP版本发出的请求。

如果您想要对整个网站进行一次性，合理全面的递归扫描，您可以使用CLI中的Bramus的mixed-content-scan。它不会检查补充JS / CSS中的链接，但它很适合找到3年前实习生提出的一个危险的非SSL脚本的帖子。

有关正在进行的解决方案，请参阅my other answer。

尝试：www.WhyNoPadlock.com它将为您提供任何https网页上所有不安全内容的报告。

你可以使用SslCheck

它是一个免费的在线工具，可以递归地（在所有内部链接之后）抓取网站并扫描不安全的内容 - 图像，脚本和CSS。

（免责声明：我是开发人员之一）

使用Fiddler。

安全请求根本不会显示（除了可以隐藏的HTTPS CONNECT之外），所以你看到的一切都很糟糕。

我在javascript中遇到了这个问题：

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

应避免使用src = javascript：void（0）。

使用Fiddler或Chrome无法找到此问题。

最近有同样的问题，使用chrome开发工具更容易找到..在开发人员工具中转到Security选项卡，你可以找到所有非https请求

如果您拥有该网站，您应该查看the Content-Security-Policy header options.这些可以包括forcing HTTPS on resources,或自动尝试redirect HTTP resources to HTTPS,等。

值得注意的是，还有一个针对密切相关的report-uri的Content-Security-Policy-Report-Only header指令，它会将您的CSP的任何违规行为报告给您选择的uri。这意味着任何支持report-uri的浏览器都会向您发送有关您网站上有问题的网页的报告。 Mozilla开发者网络有a PHP example处理报告。

1请注意，如果您可以合理地期望任何具有完全CSP（RO）支持的浏览器能够访问相关页面，那么某些浏览器不支持它并不重要。

你可以检查https://www.missingpadlock.com/

是一个用于抓取您的网站以查找不安全页面的在线工具。

我只想留下关于这个问题出现时发生在我身上的事情的说明。

突然，我的域名显示“混合：不安全的项目”。我根本找不到原因。控制台刚刚显示正在请求的图像：http://www.example.com/，我无法找到任何参考。

我搜索并搜索并最终发现在Chrome的“安全”标签中，显示“不安全内容”的位置显示“在网络标签中显示”。当我点击它时，它再次向我显示了错误的URL，除了Initiatior列之外没有任何信息。它显示图像footer_bg.jpg。

有人在我的页脚背景图片中注入了代码我想知道吗？结果没有，我昨天无意中移动了那张图片并忘了它。因此页面请求的图像不存在，返回错误。我修复了图像的链接，并再次安全地加载页面。

只是为了将来可能会遇到这个问题的其他人。