67

查找 HTTPS 页面请求的所有非 HTTPS URL 列表的最有效方法是什么?如果发生这种安全违规,每个浏览器都会提醒用户,但我找不到一种简单的方法来找到导致违规的确切 URL。

到目前为止,我发现的最简单的方法是使用 Firefox,但即便如此,它仍然不是很方便。首先,我可以右键单击,选择查看页面信息,单击媒体选项卡,然后滚动浏览 URL 列表。但是,这似乎只列出了图像文件,而不是 CSS 或 JS 包含的也会导致错误的。对于这些,我必须使用 Firebug 扩展,选择 Net 选项卡,然后手动将鼠标悬停在每个项目上以查看整个 URL。不幸的是,如果您有几十个媒体文件,这可能需要一段时间。有没有更好的办法?

4

11 回答 11

99

请注意,在最新版本的 Chrome 中,这些错误将显示在 Javascript 控制台中。

例如

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
于 2011-11-18T19:45:56.687 回答
32

试试:www.WhyNoPadlock.com它将为您提供任何 https 网页上所有不安全内容的报告。

于 2011-03-20T14:04:32.203 回答
12

您可以使用SslCheck

这是一个免费的在线工具,可以递归地爬取网站(跟踪所有内部链接)并扫描不安全的内容——图像、脚本和 CSS。

(免责声明:我是开发人员之一)

于 2014-08-20T22:12:57.707 回答
10

最近遇到了同样的问题,使用chrome开发工具更容易找到..在开发工具中转到安全选项卡,您可以找到所有非https请求

在此处输入图像描述

于 2017-01-28T16:26:13.560 回答
5

使用提琴手。

安全请求根本不会出现(HTTPS CONNECT 除外,它可以隐藏),所以你看到的一切都是坏的。

于 2011-01-18T20:10:10.733 回答
5

我在javascript中遇到了这个问题:

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

应该避免使用 src=javascript:void(0) 。

使用 Fiddler 或 Chrome 找不到此问题。

于 2012-02-22T10:43:12.770 回答
3

You can check https://www.missingpadlock.com/

Is a online tool for crawl your site for find insecure pages.

于 2019-03-14T10:44:01.920 回答
2

如果您拥有该Content-Security-Policy网站,则应查看标题选项。其中包括对资源强制使用 HTTPS,或自动尝试将 HTTP 资源重定向到 HTTPS,等等。

report-uri值得注意的是,对于密切相关的Content-Security-Policy-Report-Only标头还有一个指令,该指令将 CSP 的任何违规行为报告给您选择的 uri。这意味着任何支持1 for 的浏览器report-uri都会持续向您发送有关您网站上存在问题 HTTPS 的页面的报告Mozilla Developer Network 有一个处理报告的 PHP 示例

1请注意,如果您可以合理地期望任何具有完全 CSP(RO) 支持的浏览器能够访问相关页面,那么某些浏览器不支持它并不重要。

于 2017-05-05T16:14:13.960 回答
1

我只想写下这个问题出现时发生在我身上的事情。

突然我的域显示“混合:不安全的项目”。我根本找不到原因。控制台只是显示正在请求的图像: ,我在任何地方都http://www.example.com/找不到任何参考。

我搜索和搜索,最终发现在 Chrome 的安全选项卡中,它显示“不安全内容”的位置显示“在网络选项卡中显示”。当我点击它时,它再次向我显示了错误的 URL,除了Initiatior列之外没有任何信息。它正在显示图像footer_bg.jpg

Had someone injected code into my footer background image I wondered? Turns out no, I had inadvertently moved that image yesterday and forgot about it. So the page was requesting an image that wasn't there, returning an error. I fixed the link to the image and page loads securely again.

Just for anyone else that will possibly have this problem in the future.

于 2017-09-15T09:22:13.387 回答
1

If you want a one-shot, reasonably-comprehensive, recursive scan of an entire website, you can use Bramus's mixed-content-scan from the CLI. It won't check links in supplemental JS/CSS, but it's great for finding that one post that the intern from 3 years ago put up with a dangerous non-SSL script.

有关持续解决方案,请参阅我的其他答案

于 2019-07-18T19:23:29.420 回答
0

使用Burp Suite,将范围设置为您的网站,浏览到安全页面并检查对您网站的 HTTP 版本发出的请求。

于 2012-02-23T14:44:53.017 回答