보안 페이지에서 모든 안전하지 않은 콘텐츠 찾기

보안 페이지에서 모든 안전하지 않은 콘텐츠 찾기

---

HTTPS 페이지에서 요청한 모든 비 HTTPS URL 목록을 찾는 가장 효율적인 방법은 무엇입니까? 이러한 종류의 보안 위반이 발생하면 모든 브라우저에서 사용자에게 경고하지만 정확한 URL이 위반을 일으키는 원인을 쉽게 찾을 수있는 방법을 찾을 수 없습니다.

지금까지 찾은 가장 쉬운 방법은 Firefox를 사용하는 것이지만 그래도 여전히별로 편리하지 않습니다. 먼저 마우스 오른쪽 버튼을 클릭하고 페이지 정보보기를 선택한 다음 미디어 탭을 클릭하고 URL 목록을 스크롤 할 수 있습니다. 그러나 이것은 오류를 일으킬 수있는 CSS 또는 JS 포함이 아닌 이미지 파일 만 나열하는 것으로 보입니다. 이를 위해서는 Firebug 확장을 사용하고 Net 탭을 선택한 다음 수동으로 각 항목 위에 마우스를 올려 전체 URL을 확인해야합니다. 안타깝게도 수십 개의 미디어 파일이있는 경우 시간이 걸릴 수 있습니다. 더 좋은 방법이 있습니까?

---

최신 버전의 Chrome에서는 이러한 오류가 Javascript 콘솔에 표시됩니다.

예 :

The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.

---

시도 : www.WhyNoPadlock.com 모든 https 웹 페이지의 모든 안전하지 않은 콘텐츠에 대한 보고서를 제공합니다.

---

SslCheck 를 사용할 수 있습니다.

웹 사이트를 재귀 적으로 (모든 내부 링크를 따라) 크롤링하고 이미지, 스크립트 및 CSS와 같은 안전하지 않은 콘텐츠를 검색하는 무료 온라인 도구입니다.

(면책 조항 : 저는 개발자 중 한 명입니다)

---

최근에 동일한 문제가 발생하여 크롬 개발자 도구를 사용하면 더 쉽게 찾을 수 있습니다. 개발자 도구에서 보안 탭으로 이동하면 https가 아닌 모든 요청을 찾을 수 있습니다.

---

Fiddler를 사용하십시오.

보안 요청은 전혀 표시되지 않으므로 (숨길 수있는 HTTPS CONNECT 제외) 모든 것이 잘못 표시됩니다.

---

나는 자바 스크립트에서 발생한이 문제가 있습니다.

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

src = javascript : void (0)는 피해야합니다.

Fiddler 또는 Chrome을 사용하여이 문제를 찾을 수 없습니다.

---

https://www.missingpadlock.com/에서 확인할 수 있습니다.

안전하지 않은 페이지를 찾기 위해 사이트를 크롤링하는 온라인 도구입니다.

---

웹 사이트를 소유하고 있다면 헤더 옵션을 살펴 봐야 합니다 Content-Security-Policy. 여기에는 리소스에 HTTPS를 강제 적용 하거나 HTTP 리소스를 HTTPS로 자동 리디렉션하는 등의 시도가 포함될 수 있습니다 .

특히, CSP의 모든 위반을 선택한 URI에보고 report-uri하는 밀접하게 관련된 Content-Security-Policy-Report-Only헤더에 대한 지시문 도 있습니다. 즉, ¹ 을 지원하는 모든 브라우저 는 지속적으로report-uri HTTPS 에 문제가있는 사이트의 페이지에 대한 보고서를 보냅니다 . Mozilla Developer Network에는 보고서를 처리 하는 PHP 예제 가 있습니다.

---

^하나는 당신이 합리적으로 예상 할 수있는 경우주의 모든 문제의 페이지를 칠 전체 CSP (RO)를 지원하는 브라우저를, 그것은 일부 브라우저가 지원을하지 않아도 문제가되지 않습니다.

---

이 문제가 발생했을 때 나에게 일어난 일에 대한 메모를 남기고 싶습니다.

갑자기 내 도메인에 '혼합 : 안전하지 않은 항목'이 표시되었습니다. 원인을 전혀 찾을 수 없었습니다. 콘솔에 요청 된 이미지 만 표시되었습니다. http://www.example.com/, 어디서나 참조 할 수 없습니다 .

검색 결과 Chrome의 보안 탭에서 '안전하지 않은 콘텐츠'가 표시된 곳에서 '네트워크 탭에 표시'라고 표시되는 것을 발견했습니다. 내가 그것을 클릭했을 때, 그것은 나에게 Initiatior 열을 제외하고는 정보없이 다시 나쁜 URL을 보여주고 있었다 . 이미지를 보여주고있었습니다 footer_bg.jpg.

누군가 내 바닥 글 배경 이미지에 코드를 삽입 했나요? 아니요, 어제 그 이미지를 우연히 옮겼고 잊어 버렸습니다. 따라서 페이지는 거기에없는 이미지를 요청하고 오류를 반환했습니다. 이미지에 대한 링크를 수정하고 페이지가 다시 안전하게로드됩니다.

미래에이 문제가 발생할 수있는 다른 사람을위한 것입니다.

---

사용 트림 스위트는 웹 사이트의 HTTP 버전으로 만들어진 요청 보안 페이지와 검사에 대한 귀하의 웹 사이트로 범위, 찾아보기를 설정합니다.

---

전체 웹 사이트에 대한 원샷, 합리적으로 포괄적 인 재귀 스캔을 원하면 mixed-content-scanCLI에서 Bramus를 사용할 수 있습니다 . 보충 JS / CSS에서 링크를 확인하지는 않지만 3 년 전 인턴이 위험한 비 SSL 스크립트로 작성한 게시물을 찾는 데는 좋습니다.

을 위해 지속적인 솔루션, 참조 내 다른 대답을 .

참고 URL : https://stackoverflow.com/questions/4728507/finding-all-insecure-content-on-a-secure-page