如何查看安全页面上的不安全项目

Question

我有一个网络应用程序，在我自己的机器上运行得很好，在我客户的电脑上也运行得很好，但在他们的客户机器上，他们访问的每个页面都会收到混合内容的提示。

然而，无论他们对问题的回答是“是”还是“否”，他们仍然可以获得该网站的所有功能。

我们不能要求他们禁用警告，因为他们会认为我们的应用程序不安全并且不会使用它。

我已经安装了 Httpwatch，并且加载的资源或 URL 均不安全。 使用 https 调用任何 Flash 对象的代码库： 我已经检查了脚本中是否有任何removechild()函数调用，并且没有一个在带有背景图像的div上调用。 我们在代码库中的任何地方都没有调用 javascript:void 。

我不知道接下来要检查什么。 有没有什么方法可以在不造成太大干扰的情况下找出页面试图加载哪些不安全的对象？ 这必须能够在 IE7 或 8 上运行，因为我们不允许在他们的机器上安装任何东西。

Answer 1

这有点不合时宜，但我今天遇到了这个问题，并认为我应该参与进来。在 IE9 开发人员工具栏 (F12) 中，控制台选项卡将为您提供导致安全警告的任何项目的列表。安全页面。

Answer 2

除了 Dean 的建议之外，为什么不尝试安装 firebug (Firefox) 并查看页面请求的所有内容？

Answer 3

除了 IFRAME 之外，还可以是前面提到的 CSS。判断情况是否如此的最佳方法（我就是这样做的）是使用“禁用”>“IE8 开发人员工具”(F12)。 CSS 并查看是否出现问题。如果是，则不在 CSS 中。如果没有，则在 CSS 中。 （在我的例子中，我在background-image标签中有一个硬编码的URL，使用http://。修复方法是使图像相对。）

Answer 4

你有 # 的链接吗？

也就是说，我的情况

<iframe src="#"/> 

正是您所描述的。

编辑任何没有 src 的 iframe，或者带有 IE 不喜欢的 src 的 iframe，都会导致此错误。此外，编辑 CSS 以包含图像并使用相对 URL 也可能会导致此问题，因此带有向下箭头图像的动态下拉菜单也可能会导致该问题。

如果您有权访问该页面，请尝试一次删除其中的一部分，并查看错误是否仍然发生，以追踪该错误可能发生在页面上的位置。 iframe 和 CSS 将是我最看重的两个选择。

Answer 5

最近我遇到了类似的问题（旧版 IE 浏览器上出现混合内容警告，但专门设计的工具没有发现不安全内容）。

事实证明，这是由 指定的 http url 引起的用于嵌入 Flash 动画的 object 元素的 >codebase 属性。

Answer 6

我遇到了类似的问题，结果是 CSS import 语句拉入了其中包含绝对路径元素的子表。就我而言，子表已过时，因此我只是从主 stylesheep 中删除了导入语句。