1. дома
  2. Вопрос и ответ
  3. Поиск всего небезопасного содержимого на защищенной странице

Поиск всего небезопасного содержимого на защищенной странице

2011-01-18 5 views
55

Каков наиболее эффективный способ найти список всех URL-адресов, отличных от HTTPS, запрошенных на странице HTTPS? Если такое нарушение безопасности происходит, каждый браузер предупреждает пользователя, но я не могу найти простой способ найти точные URL-адреса, вызывающие нарушение.Поиск всего небезопасного содержимого на защищенной странице

Самый простой способ, который я нашел до сих пор, - использовать Firefox, но даже тогда это все еще не очень удобно. Во-первых, я могу щелкнуть правой кнопкой мыши, выбрать «Просмотр сведений о странице», перейдите на вкладку «Медиа» и прокрутите список URL-адресов. Однако, похоже, это только список файлов изображений, а не CSS или JS, которые также могут вызывать ошибку. Для них я должен использовать расширение Firebug, выбрать вкладку «Сеть» и вручную навести указатель мыши на каждый элемент, чтобы увидеть весь URL-адрес. К сожалению, это может занять некоторое время, если у вас есть десятки медиафайлов. Есть ли способ лучше?

источник

2011-01-18 Cerin

+0

Вы можете заглянуть в плагин [TamperData plugin] (https://addons.mozilla.org/en-US/firefox/addon/tamper-data/) для Firefox. – Pointy

+0

Я знаю, что это старый пост, но, возможно, это поможет кому-то, есть настольное приложение, которое вы можете использовать для сканирования и отправки сообщений о проблемах со смешанным контентом на весь сайт: https://www.ecommerce.co.uk/httpschecker. Вы также можете запросить результаты сканирования по электронной почте тоже :) – stilliard

ответ

87

Обратите внимание, что в последних версиях Chrome эти ошибки будут отображаться в Javascript Console.

например.

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

источник

2011-11-18 19:45:56 Cerin

+1

это лучший способ – Obie

+5

На Firefox HTTP-запросы, отправленные из соединения HTTPS, можно увидеть красным цветом на веб-консоли ('Инструменты'>' Веб-разработчик'> 'Веб-консоль' или' Ctrl' + 'Shift '+' K'). – AxeEffect

+2

Если вы используете Chrome или Firefox-консоли, вы по-прежнему не видите запрос на ненадежность HTTP, вам придется использовать Fiddler или WhyNoP adlock.com, как предлагается ниже. – AxeEffect

5

Использование Fiddler.

Защищенные запросы не будут отображаться вообще (кроме как HTTPS CONNECT, которые могут быть скрыты), поэтому все, что вы увидите, плохо.

источник

2011-01-18 20:10:10 SLaks

+0

Увы, я нахожусь в Linux, и он говорит, что для этого требуется Windows. Все ли это работает в Mono? – Cerin

+1

Я бы предположил, что нет, но я не знаю. – SLaks

+2

требуется windows :( – Obie

30

Попробуйте: www.WhyNoPadlock.com Он предоставит вам отчет обо всех ненадежных контентах на любой странице https.

источник

2011-03-20 14:04:32

+5

Не помогает для контента, требующего проверки подлинности – Obie

+2

Мне нравится @ Ответ Роба лучше. Сайт, который он рассказал, говорит вам, какие именно предметы небезопасны. Моя проблема заключалась в том, что запрашивались шрифты Google без https, а сайт был сохранен я много времени просматриваю свои файлы, поэтому проверяем https во всех моих приложениях. – pmalbu

+0

В этом инструменте указано, что не обнаружено небезопасного контента, когда инструмент, используемый другим пользователем ниже (SslCheck), говорит, что есть шесть страниц с небезопасными ссылками (которые являются реальными преступник) – Alam

5

Я имел эту проблему, которая произошла в JavaScript:

/* for Internet Explorer */ 
/*@cc_on @*/ 
/*@if (@_win32) 
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>"); 
(.....)

СРК = JavaScript: недействительным (0) следует избегать.

Вы не можете найти эту проблему, используя Fiddler или Chrome.

источник

2012-02-22 10:43:12

0

Используйте Burp Suite, настройте область действия как свой веб-сайт, перейдите на защищенную страницу и проверьте, какой запрос сделан в HTTP-версии вашего веб-сайта.

источник

2012-02-23 14:44:53

10

Вы можете использовать SslCheck

Это бесплатный онлайн инструмент, который сканирует веб-сайт рекурсивно (после всех внутренних ссылок) и сканирование для незащищенного контента - изображений, скриптов и CSS.

(отказ от ответственности: Я один из разработчиков)

источник

2014-08-20 22:12:57 Alex

+1

Хотя эта ссылка может ответить на вопрос, лучше включить здесь основные части ответа и предоставить ссылку для справки. Ответные ссылки могут стать недействительными, если связанная страница изменится. – Raedwald

+4

@Raedwald Это онлайн-инструмент. Как вы включаете основные части этого здесь? – Mike

+2

Хороший инструмент, но он не проверяет '

' элементы.В моем случае сайт выполнял поиск с помощью , который вызвал предупреждение Chrome. –

3

Недавно была такая же проблема, используя инструмент разработчика Chrome это было легче найти .. В средстве разработки перейти к Security вкладку, вы можете найти все не-HTTPS просить

enter image description here

источник

2017-01-28 16:26:13

0

Если у вас есть веб-сайт, вы должны смотреть в the Content-Security-Policy header options. Они могут включать forcing HTTPS on resources, или автоматически пытается redirect HTTP resources to HTTPS, среди других вещей.

Примечательно, что существует также директива report-uri для связанного с ней Content-Security-Policy-Report-Only header, в котором сообщается о любых нарушениях вашего CSP к выбранному вами uri. Это означает, что любой браузер с поддержкой для report-uri будет отправлять вам отчеты о страницах вашего сайта с проблемным HTTPS на постоянной основе. Сеть разработчиков Mozilla имеет a PHP example обработки отчетов.

Обратите внимание, что если вы можете разумно ожидать любой браузер с полной СНТ (RO) поддержки, чтобы ударить страницы в вопросе, это не имеет значения, что некоторые браузеры не имеют поддержку.

источник

2017-05-05 16:14:13 Michael

0

Я просто хочу оставить записку о том, что случилось со мной, когда эта проблема возникла.

Внезапно мой домен показал «Смешанные: небезопасные предметы». Я не мог найти причину. Консоль просто показывала, что изображение запрашивалось: http://www.example.com/, Который не нашёл ссылок на в любом месте.

Я искал и искал и, в конце концов, обнаружил, что на вкладке «Безопасность» в Chrome, где он показывал «Незащищенный контент», он сказал «Показать в сетевой вкладке». Когда я нажал на это, он показывал мне плохой URL-адрес, опять же, без информации, кроме колонки Initatior. Он показывал изображение footer_bg.jpg.

Если бы кто-то ввел код в фоновое изображение нижнего колонтитула, я задавался вопросом? Оказывается, нет, я нечаянно перебрал этот образ вчера и забыл об этом. Таким образом, страница запрашивала изображение, которого там не было, возвращая ошибку. Я установил ссылку на изображение, и страница загрузится снова.

Только для тех, у кого может возникнуть эта проблема в будущем.

источник

2017-09-15 09:22:13 Chud37

Смежные вопросы

 Смежные вопросы