你怎么能确切地知道什么不安全的项目导致浏览器警告混合安全和不安全的项目?
在Firefox中,我查看了我的网站,并没有收到关于不安全混合内容的警告。
使用FireBug,我可以看到每个请求都是https
。
在Chrome中,我在地址栏中划出了https
。
我在Chrome浏览器中查看源代码,然后运行这个正则expression式/http(?!s)/
但唯一发现的是一些外部链接的href
属性和doctypes和http-equiv
元标签。
使用Chrome浏览器的资源跟踪显示所有请求都是https
。
这包括谷歌分析,Google的CDN的jQuery和Facebook的脚本。
有什么具体的工具,我可以用来显示非https
请求,或任何进一步的,我可以尝试?
我发现,即使在没有混合内容的情况下,如果在会话期间混合内容已经在域中遇到混合内容,我也会在Chrome中获得“混合内容” – 警告。
(这里还提到: 为什么Chrome在没有其他浏览器的情况下报告安全/不安全警告? )
在Chrome的“开发者工具”中,“控制台”选项卡显示了由于不安全而不会加载的资源。
您可以将“scheme”列添加到Chrome开发者工具networking标签中,以显示通过http或https发送的请求:
- 按F12显示开发人员工具
- 切换到networking选项卡
- 右键单击列标题并select“Scheme”
- 重新加载页面,显示哪些元素通过http或https加载
在这样的情况下,确切地看到哪个协议被用来加载资源是有帮助的,我build议Fiddler2作为浏览器不可知的解决scheme,可以准确地向您显示每个请求上发生的stream量。
来自网站:
Fiddler是一个Webdebugging代理,可以logging您的计算机和Internet之间的所有HTTP(S)stream量。 提琴手允许您检查所有的HTTP(S)stream量,设置断点,并与传入或传出的数据“小提琴”。 Fiddler包括一个function强大的基于事件的脚本子系统,可以使用任何.NET语言进行扩展。
编辑 :浏览器中的debugging工具变得非常好,所以这个第三方工具可能不如第一次写这个答案时有用。
打开Web Inspector并find右上angular的黄色三angular形(警告)。 点击它,它会显示所有的安全问题。
你有FireFox的HttpFox插件吗? 我想,这样做是有效的。 除此之外,它还报告网页请求的所有资产的URL,方法,结果代码和字节。 这是我用来捕捉偶尔的非HTTPSgraphics等。我相信其他build议的工具也会这样做…
你可以使用SslCheck
这是一个免费的在线工具,recursion地抓取网站(遵循所有内部链接),并扫描不安全的包括图像,脚本和CSS。
(免责声明:我是开发人员之一)
我知道这个post是旧的,但我跑过去,并有同样的问题。 我点击了Chrome菜单(右上angular),向下滚动到工具>和选定的开发人员工具。 点击控制台标签,它告诉我到底是什么问题… favicon是通过http服务的,而不是https,但当然它不在页面源代码中。 更正了我的CMS中的问题,它加载了网页中没有代码的图标…并没有更多的错误!
在第48版中,他们增加了一个安全面板 。 使用它可以快速识别混合内容资源:
请注意,“混合内容”和“混合脚本”是分开检测的。 请在此网站上查看Chrome中图标的含义: https : //support.google.com/chromebook/answer/95617?p =ui_security_indicator&rd = 1 (点击“查看详情”链接)。
灰色图标=混合内容,红色图标=混合脚本。