如何以最有效的方式查找HTTPS页面请求的所有非HTTPS URL列表?如果发生此类安全违规,每个浏览器都会向用户发出警报,但我找不到一个简单的方法来查找到底哪些URL导致了违规。
到目前为止,我发现最简单的方法是使用Firefox,但即使这样,它仍然不太方便。首先,我可以右键单击,选择“查看页面信息”,点击“媒体”选项卡,并滚动浏览URL列表。然而,这似乎只列出图像文件,而不是也可能引起错误的CSS或JS包含文件。对于这些文件,我必须使用Firebug扩展程序,选择“网络”选项卡,并手动将鼠标悬停在每个项目上,以查看完整的URL。不幸的是,如果有几十个媒体文件,这可能需要一段时间。是否有更好的方法?
注意,在最新版本的Chrome中,这些错误将在Javascript控制台中显示。
例如:
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
工具>Web 开发者>Web 控制台或 Ctrl+Shift+K)中以红色显示。 - AxeEffect试试: www.WhyNoPadlock.com 它将会给你报告任何https网页上所有不安全的内容。
<form>元素。在我的情况下,一个网站采用了<form method="get" action="http://www.google.com/search">来实现他们的搜索,这导致了Chrome的警告。 - Abe Voelker
我遇到了一个在JavaScript中出现的问题:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)
避免使用src=javascript:void(0)。
使用Fiddler或Chrome无法找到此问题。
使用 Fiddler 工具。
安全请求将完全不会显示(除了作为 HTTPS 连接,可以隐藏),因此您所看到的都是不好的。
Content-Security-Policy头选项。 这些可以包括强制使用HTTPS资源, 或自动尝试将HTTP资源重定向到HTTPS,等其他内容。report-uri指令与密切相关的Content-Security-Policy-Report-Only header,它会将您的CSP违规情况报告到您选择的uri。这意味着任何支持1report-uri的浏览器都会定期向您发送有问题的HTTPS页面的报告。Mozilla开发者网络提供了一个PHP示例来处理这些报告。
我想留下一条关于遇到这个问题时发生的事情说明。
突然间我的域名显示“混合:不安全项目”。我完全找不到原因。控制台只显示正在请求一个图片:http://www.example.com/,但我无法在任何地方找到任何关于它的引用。
我搜索了很久,最终发现在Chrome的安全选项卡中,当它显示“不安全内容”时,它会说“在网络选项卡中显示”。当我点击它时,它向我显示了坏URL,再次没有除引发者列之外的任何信息。它展示了图片footer_bg.jpg。
有人将代码注入我的页脚背景图像中吗?事实证明不是,我不经意间昨天移动了那个图像并忘了它。所以页面请求的是一个不存在的图像,导致出错。我修复了图像链接,页面再次安全加载。
仅供日后可能遇到此问题的其他人参考。
mixed-content-scan命令行工具。它不会检查JS/CSS补充链接,但是非常适合查找三年前实习生发布的带有危险非SSL脚本的文章。