查找HTTPS页面请求的所有非HTTPS URL列表的最有效方法是什么?如果发生此类安全违规,每个浏览器都会提醒用户,但我找不到一种简单的方法来查找确切的URL导致违规。
到目前为止我发现的最简单的方法是使用Firefox,但即便如此,它仍然不是很方便。首先,我可以右键单击,选择“查看页面信息”,单击“媒体”选项卡,然后滚动URL列表。但是,这似乎只列出图像文件,而不是CSS或JS包含,也可能导致错误。对于那些,我必须使用Firebug扩展,选择Net选项卡,并手动将鼠标悬停在每个项目上以查看整个URL。不幸的是,如果你有几十个媒体文件,这可能需要一段时间。有没有更好的办法?
请注意,在最新版本的Chrome中,这些错误将显示在Javascript控制台中。
EG
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
使用Burp Suite,将范围设置为您的网站,浏览到安全页面并检查对您网站的HTTP版本发出的请求。
如果您想要对整个网站进行一次性,合理全面的递归扫描,您可以使用CLI中的Bramus的mixed-content-scan
。它不会检查补充JS / CSS中的链接,但它很适合找到3年前实习生提出的一个危险的非SSL脚本的帖子。
有关正在进行的解决方案,请参阅my other answer。
尝试:www.WhyNoPadlock.com它将为您提供任何https网页上所有不安全内容的报告。
使用Fiddler。
安全请求根本不会显示(除了可以隐藏的HTTPS CONNECT之外),所以你看到的一切都很糟糕。
我在javascript中遇到了这个问题:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)
应避免使用src = javascript:void(0)。
使用Fiddler或Chrome无法找到此问题。
如果您拥有该网站,您应该查看the Content-Security-Policy
header options.这些可以包括forcing HTTPS on resources,或自动尝试redirect HTTP resources to HTTPS,等。
值得注意的是,还有一个针对密切相关的report-uri
的Content-Security-Policy-Report-Only
header指令,它会将您的CSP的任何违规行为报告给您选择的uri。这意味着任何支持report-uri
的浏览器都会向您发送有关您网站上有问题的网页的报告。 Mozilla开发者网络有a PHP example处理报告。
1请注意,如果您可以合理地期望任何具有完全CSP(RO)支持的浏览器能够访问相关页面,那么某些浏览器不支持它并不重要。
你可以检查https://www.missingpadlock.com/
是一个用于抓取您的网站以查找不安全页面的在线工具。
我只想留下关于这个问题出现时发生在我身上的事情的说明。
突然,我的域名显示“混合:不安全的项目”。我根本找不到原因。控制台刚刚显示正在请求的图像:http://www.example.com/
,我无法找到任何参考。
我搜索并搜索并最终发现在Chrome的“安全”标签中,显示“不安全内容”的位置显示“在网络标签中显示”。当我点击它时,它再次向我显示了错误的URL,除了Initiatior列之外没有任何信息。它显示图像footer_bg.jpg
。
有人在我的页脚背景图片中注入了代码我想知道吗?结果没有,我昨天无意中移动了那张图片并忘了它。因此页面请求的图像不存在,返回错误。我修复了图像的链接,并再次安全地加载页面。
只是为了将来可能会遇到这个问题的其他人。