查找安全页面上的所有不安全内容

发布于 2024-10-12 12:26:09 字数 329 浏览 2 评论 0原文

查找 HTTPS 页面请求的所有非 HTTPS URL 列表的最有效方法是什么？如果发生这种安全违规，每个浏览器都会向用户发出警报，但我找不到一种简单的方法来查找导致违规的确切 URL。

到目前为止我发现的最简单的方法是使用 Firefox，但即便如此，它仍然不是很方便。首先，我可以右键单击，选择“查看页面信息”，单击“媒体”选项卡，然后滚动浏览 URL 列表。然而，这似乎只列出了图像文件，而不是也可能导致错误的 CSS 或 JS 包含。对于这些，我必须使用 Firebug 扩展，选择“网络”选项卡，然后手动将鼠标悬停在每个项目上才能查看整个 URL。不幸的是，如果您有数十个媒体文件，这可能需要一段时间。有更好的办法吗？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

梦纸 2024-10-19 12:26:10

如果您拥有该网站，则应该查看 Content- Security-Policy 标头选项。其中可以包括在资源上强制使用 HTTPS，或自动尝试将 HTTP 资源重定向到 HTTPS，等等。

值得注意的是，还有一个 report-uri 指令，用于密切相关的 Content-Security-Policy-Report-Only 标头，将 CSP 的任何违规行为报告到您选择的 uri。这意味着任何支持 ¹ report-uri 的浏览器都会持续向您发送有关您网站上存在 HTTPS 问题的页面的报告。 Mozilla 开发者网络有处理报告的 PHP 示例。

¹ 请注意，如果您可以合理预期任何完全支持 CSP(RO) 的浏览器都能访问相关页面，那么某些浏览器不支持也没关系为了它。

回复收藏 0 原文

怎会甘心 2024-10-19 12:26:10

我只是想记录一下当这个问题出现时我发生了什么。

突然我的域名显示“混合：不安全的项目”。我根本找不到原因。控制台仅显示正在请求的图像：http://www.example.com/，我在任何地方都找不到任何引用。

我搜索了又搜索，最终发现在 Chrome 的“安全”选项卡中，显示“不安全内容”的地方显示“在网络选项卡中显示”。当我点击它时，它再次向我显示错误的 URL，除了 Initiatior 列之外没有任何信息。它显示了图像 footer_bg.jpg。

我想知道是否有人将代码注入到我的页脚背景图像中？事实证明没有，我昨天无意中移动了该图像并忘记了它。因此该页面请求的图像不存在，并返回错误。我修复了图像的链接，页面再次安全加载。

仅供将来可能遇到此问题的其他人使用。

回复收藏 0 原文

ヤ经典坏疍 2024-10-19 12:26:10

如果您想要对整个网站进行一次性、相当全面的递归扫描，您可以使用 Bramus 的来自 CLI 的混合内容扫描。它不会检查补充 JS/CSS 中的链接，但它非常适合查找 3 年前实习生发布的危险非 SSL 脚本的帖子。

对于正在进行的解决方案，请参阅我的其他答案。

回复收藏 0 原文

红ご颜醉 2024-10-19 12:26:10

使用 Burp Suite，将范围设置为您的网站，浏览到安全页面并检查发出了哪些请求您网站的 HTTP 版本。

回复收藏 0 原文

入怼 2024-10-19 12:26:10

我们在内部网站上遇到了这个问题。资产中使用的 URL 都不是 HTTP 协议，但问题是我们在脚本标记中使用了不正确的 URL（也包含 HTTP 协议），这导致 MSEdge 使用 HTTP 方案进行回退，因为 HTTP 协议的 URL 无法被使用。达到了。修复错误的 URL 是我们的解决方案。

回复收藏 0 原文

一念一轮回 2024-10-19 12:26:09

请注意，在最新版本的 Chrome 中，这些错误将显示在 Javascript 控制台中。

例如

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

Note, in recent versions of Chrome, these errors will be displayed in the Javascript Console.

e.g.

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

回复收藏 0 原文

冷心人i 2024-10-19 12:26:09

尝试：www.WhyNoPadlock.com 它将为您提供任何 https 网页上所有不安全内容的报告。

回复收藏 0 原文

千年*琉璃梦 2024-10-19 12:26:09

您可以使用 SslCheck

这是一个免费的在线工具，可以递归地抓取网站（跟踪所有内部链接）并扫描不安全的内容 - 图像、脚本和CSS。

（免责声明：我是开发者之一）

回复收藏 0 原文

猥琐帝 2024-10-19 12:26:09

我最近也遇到了同样的问题。使用Chrome的开发者工具，更容易找到。在开发者工具中，转到安全选项卡。在那里您可以找到所有非 HTTPS 请求。

回复收藏 0 原文

じее 2024-10-19 12:26:09

我在 javascript 中遇到了这个问题：

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

应该避免 src=javascript:void(0) 。

使用 Fiddler 或 Chrome 无法发现此问题。

I had this problem which occurred in a javascript:

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

The src=javascript:void(0) should be avoided.

You can not find this problem using Fiddler or Chrome.

回复收藏 0 原文