如何准确判断哪些不安全项目导致浏览器对混合安全和不安全项目发出警告？

Question

在 Firefox 中，我查看我的网站，但没有收到有关不安全混合内容的警告。

使用 FireBug，我可以看到每个请求都是 https。

在 Chrome 中，我在地址栏中将 https 划掉了。

我在 Chrome 中查看了源代码，然后运行了这个正则表达式 /http(?!s)/ 但它发现的唯一内容是一些外部链接的 href 属性和文档类型和 http-equiv 元标记。

使用 Chrome 的资源跟踪显示所有请求也都是 https。

这包括 Google Analytics、来自 Google CDN 的 jQuery 和 Facebook 之类的脚本。

是否有任何特定工具可以用来显示非 https 请求，或者我可以进一步尝试什么？

Answer 1

我发现，即使在没有混合内容的情况下，如果在会话期间域中已经遇到混合内容，我也会在 Chrome 中收到“混合内容”警告。

（这里还提到：为什么 Chrome 会报告安全/不安全警告，而其他浏览器却没有报告安全/不安全警告？）

Answer 2

在 Chrome 的开发者工具中，“控制台”选项卡显示不会加载的资源，因为它们不安全。

Answer 3

您可以将“方案”列添加到 Chrome 开发人员工具网络选项卡，以显示通过 http 或 https 发送的请求：

1. 按 F12 显示开发人员工具
2. 切换到网络选项卡
3. 右键单击​​列标题并选择“方案”
4. 重新加载显示通过 http 或 https 加载哪些元素的页面

Answer 4

在 Chrome 的 48 版本中，他们添加了 安全面板。使用它您可以快速识别混合内容资源：

Answer 5

在这种情况下，准确查看使用哪个协议来加载资源很有帮助，我建议使用 Fiddler2 作为与浏览器无关的解决方案，可以准确地向您显示每个请求上发生的流量。

从网站：

Fiddler 是一个 Web 调试代理，它记录您的计算机和 Internet 之间的所有 HTTP(S) 流量。 Fiddler 允许您检查所有 HTTP(S) 流量、设置断点以及“摆弄”传入或传出数据。 Fiddler 包含一个强大的基于事件的脚本子系统，并且可以使用任何 .NET 语言进行扩展。

编辑：浏览器内调试工具变得非常好，因此这个第三方工具可能不如第一次编写此答案时那么有用。

Answer 6

打开 Web 检查器并找到右上角的黄色三角形（警告）。单击它，它将显示所有安全问题。

Answer 7

你有 FireFox 的 HttpFox 插件吗？我认为那会起作用。
除此之外，它还报告网页请求的所有资产的 URL、方法、结果代码和字节。这是我用来捕获偶尔的非 HTTPS 图形等的方法。我确信其他建议的工具也会做同样的事情......

Answer 8

您可以使用 SslCheck

这是一个免费的在线工具，可以递归地抓取网站（跟踪所有内部链接）并扫描不安全的内容包括 - 图像、脚本和 CSS。

（免责声明：我是开发者之一）

Answer 9

我知道这篇文章很旧，但我遇到了它并遇到了同样的问题。我点击了 Chrome 菜单（右上角），向下滚动到“工具”>“并选择开发人员工具。单击“控制台”选项卡，它准确地告诉我问题是什么...图标是通过 http 而不是 https 提供的，但当然它不在页面源代码中。更正了我的 CMS 中的问题，该问题加载了页面中没有代码的图标...并且不再出现错误！

Answer 10

请注意，“混合内容”和“混合脚本”是单独检测的。检查此网站以了解 Chrome 中图标的含义：https:// /support.google.com/chromebook/answer/95617?p=ui_security_indicator&rd=1（点击“查看详细信息”链接）。

灰色图标 = 混合内容，红色图标 = 混合脚本。