您如何准确判断哪些不安全项目导致浏览器警告混合的安全和不安全项目？

Question

在 Firefox 中，我查看我的网站并没有收到关于不安全混合内容的警告。

使用FireBug，我可以看到每个请求都是https。

在 Chrome 中，地址栏中的https 被划掉了。

我在 Chrome 中查看了源代码，然后运行了这个正则表达式 /http(?!s)/，但它发现的唯一内容是一些外部链接的 href 属性以及文档类型和 http-equiv 元标记。

使用 Chrome 的 资源跟踪 显示所有请求也是 https。

这包括 Google Analytics、来自 Google 的 CDN 的 jQuery 和 Facebook 之类的脚本。

我可以使用任何特定工具来显示非https 请求，或者我可以尝试其他任何东西吗？

Answer 1

你有 FireFox 的 HttpFox 插件吗？我想那会奏效。 除此之外，它还报告网页请求的所有资产的 URL、方法、结果代码和字节。这是我用来捕获偶尔的非 HTTPS 图形等的方法。我相信其他建议的工具也会这样做......

Answer 2

在这种情况下，准确查看正在使用哪个协议来加载资源会很有帮助，我建议将 Fiddler2 作为与浏览器无关的解决方案，它可以准确地向您显示每个请求上发生的流量。

来自网站：

Fiddler 是一个 Web 调试代理，它记录您的计算机和 Internet 之间的所有 HTTP(S) 流量。 Fiddler 允许您检查所有 HTTP(S) 流量、设置断点以及“摆弄”传入或传出数据。 Fiddler 包含一个强大的基于事件的脚本子系统，并且可以使用任何 .NET 语言进行扩展。

编辑：浏览器内调试工具变得非常好，因此这个第三方工具可能不像第一次编写这个答案时那么有用。

Answer 3

我发现即使在没有混合内容的情况下，我也会在 Chrome 中收到“混合内容”警告，如果在会话期间有时在域上已经遇到混合内容。

（这里也提到：Why is Chrome reporting a secure / non secure warning when no other browsers aren't?）

Answer 4

在 Chrome 的开发者工具中，控制台选项卡会显示由于不安全而无法加载的资源。

Answer 5

我知道这篇文章很旧，但我遇到了同样的问题。我点击了 Chrome 菜单（右上角），向下滚动到 Tools> 并选择了 Developer Tools。单击“控制台”选项卡，它确切地告诉我问题出在哪里……该网站图标是通过 http 而不是 https 提供的，但当然它不在页面源代码中。更正了我的 CMS 中的问题，该问题在页面中加载了没有代码的网站图标...并且不再出现错误！

Answer 6

打开 Web Inspector 并在右上角找到黄色三角形（警告）。单击它，它将显示所有安全问题。

Answer 7

请注意，“混合内容”和“混合脚本”是分开检测的。查看此站点以了解 Chrome 中图标的含义：https://support.google.com/chromebook/answer/95617?p=ui_security_indicator&rd=1（单击“查看详细信息”链接）。

灰色图标 = 混合内容，红色图标 = 混合脚本。

Answer 8

您可以使用SslCheck

这是一个免费的在线工具，可以递归地抓取网站（跟踪所有内部链接）并扫描不安全的内容 - 图片、脚本和 CSS。

（免责声明：我是开发人员之一）

Answer 9

您可以将“方案”列添加到 Chrome 开发者工具网络选项卡，以显示通过 http 或 https 发送的请求：

1. 按 F12 显示开发者工具
2. 切换到网络标签
3. 右键单击列标题并选择“方案”
4. 重新加载页面以显示通过 http 或 https 加载的元素

Answer 10

在 48-th 版本的 chrome 中，他们添加了 security panel。使用它可以快速识别混合内容资源：