嗨,我正在https用 httpFox 调试一个页面,寻找不安全的内容。整个页面只有一个不安全的请求,但我不知道它是做什么用的?
httpFox 正在标记此请求...这是页面上的唯一"http"请求(其余为"https"):
00:00:57.444 0.378 970 113575 GET 200 文本/html (NS_IMAGELIB_ERROR_NO_DECODER) http://[thebaseURL]/
其中"thebaseURL"只是根域,后面没有任何内容(没有子路径或文件请求)
响应标头中是否存在问题?当我单击上面的行时,我看到响应标头包括"set-coookie"两个 cookie...在没有设置安全标志的情况下设置 cookie 会导致问题吗?
我只是想添加评论。即使您的页面可能使用 SSL,如果您在 Apache 访问日志中记录服务器端的敏感数据,您的内容仍然可能不安全。
SSL 只会加密从浏览器到 Web 服务器的通道。内容本身未加密,因此如果您发送敏感数据并且不使用 HTTP POST,那么所有敏感数据都将存储在访问日志中。
我能够通过将页面的原始 HTML 源代码剪切并粘贴到一个新页面(一个接一个地复制 HTML 代码块)并测试 SSL-certificate-validation 何时中断来识别问题。
事实证明,1x1 像素 shim gif 的图像路径损坏。一旦我更正了图像路径,页面就会正确显示(没有“不安全内容”错误)。
奇怪的是,丢失的图像会导致浏览器显示“页面包含安全和不安全内容的混合”错误,但希望这将在未来对其他人有所帮助。