Поиск всего небезопасного контента на защищенной странице
каков наиболее эффективный способ найти список всех URL-адресов, не связанных с HTTPS, запрошенных страницей HTTPS? Если такое нарушение безопасности происходит, каждый браузер предупреждает пользователя, но я не могу найти простой способ найти, какие именно URL-адреса вызывают нарушение.
самый простой способ, который я нашел до сих пор, это использовать Firefox, но даже тогда это все еще не очень удобно. Во-первых, я могу щелкнуть правой кнопкой мыши, выбрать просмотр информации о странице, перейдите на вкладку медиа и прокрутите список URL-адресов. Тем не менее, это кажется только список файлов изображений, а не CSS или JS включает в себя, что также может вызвать ошибку. Для этого мне нужно использовать расширение Firebug, выбрать вкладку Net и вручную навести курсор мыши на каждый элемент, чтобы увидеть весь URL. К сожалению, это может занять некоторое время, если у вас есть десятки медиа-файлов. Есть ли лучший способ?
9 ответов:
обратите внимание, что в последних версиях Chrome эти ошибки будут отображаться в консоли Javascript.
например
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
попробуйте:www.WhyNoPadlock.com он даст вам отчет обо всем небезопасном содержимом на любой веб-странице https.
можно использовать SslCheck
Это бесплатный онлайн-инструмент, который рекурсивно обходит веб - сайт (следуя всем внутренним ссылкам) и сканирует незащищенный контент-изображения, скрипты и CSS.
(отказ от ответственности: я один из разработчиков)
Используйте Fiddler.
Безопасные запросы не будут отображаться вообще (за исключением HTTPS-соединений, которые могут быть скрыты), поэтому все, что вы увидите, плохо.
У меня была эта проблема, которая произошла в javascript:
/* for Internet Explorer */ /*@cc_on @*/ /*@if (@_win32) document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>"); (.....)src=javascript: void(0) следует избегать.
вы не можете найти эту проблему с помощью Fiddler или Chrome.
недавно была такая же проблема, используя инструмент разработчика chrome было легче найти.. В инструменте разработчика перейдите к безопасность вкладка, вы можете найти все не https запрос
если у вас есть сайт, вы должны посмотреть в the
Content-Security-Policyпараметры заголовка. они могут включать принуждение HTTPS к ресурсам, или автоматически пытается перенаправление ресурсов HTTP на HTTPS, между прочим.Примечательно, что есть и
report-uriдиректива для тесно связанныхContent-Security-Policy-Report-Onlyзаголовок это сообщает о любых нарушениях вашего CSP в uri по вашему выбору. Это означает, что любой браузер с поддержкой1 наreport-uriбудет отправлять вам отчеты о страницах на вашем сайте с проблемными HTTPS на постоянной основе. Mozilla Developer Network имеет пример PHP обработки сообщения.
1 обратите внимание, что если вы можете разумно ожидать любой браузер с полной поддержкой CSP (RO), чтобы попасть на страницы, о которых идет речь, не имеет значения, что некоторые браузеры не поддерживают его.
использовать Burp Suite, настроить область как ваш сайт, перейдите на защищенную страницу и проверьте, какие запросы сделаны на HTTP-версию вашего сайта.
Я просто хочу оставить заметку о том, что случилось со мной, когда эта проблема возникла.
внезапно мой домен показал "смешанные: небезопасные элементы". Я вообще не мог найти причину. Консоль просто показывала изображение, которое было запрошено:
http://www.example.com/, который я не мог найти никакой ссылки на в любом месте.Я искал и искал и в конце концов обнаружил, что на вкладке безопасности Chrome, где он отображал "небезопасный контент", он сказал " Показать В Сети Вкладка'. Когда я нажал на это, он снова показывал мне плохой URL-адрес, без какой-либо информации, кроме Initiatior
Comments