HTTPS ページによって要求されたすべての非 HTTPS URL のリストを見つける最も効率的な方法は何ですか? この種のセキュリティ違反が発生した場合、すべてのブラウザがユーザーに警告しますが、違反の原因となった正確な URL を簡単に見つける方法が見つかりません。
これまでに見つけた最も簡単な方法は Firefox を使用することですが、それでもあまり便利ではありません。まず、右クリックして [View Page Info] を選択し、[Media] タブをクリックして、URL のリストをスクロールします。ただし、これは画像ファイルのみをリストしているようで、エラーの原因となる可能性のある CSS または JS インクルードは含まれていません。それらについては、Firebug 拡張機能を使用し、[Net] タブを選択し、手動でマウスを各項目の上に置いて URL 全体を表示する必要があります。残念ながら、数十のメディア ファイルがある場合、これには時間がかかることがあります。より良い方法はありますか?
Chrome の最近のバージョンでは、これらのエラーは Javascript コンソールに表示されることに注意してください。
例えば
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
試してみてください:www.WhyNoPadlock.comhttpsWebページ上のすべての安全でないコンテンツのレポートが表示されます。
SslCheckを使用できます
Web サイトを再帰的に (すべての内部リンクをたどって) クロールし、安全でないコンテンツ (画像、スクリプト、CSS) をスキャンする無料のオンライン ツールです。
(免責事項:私は開発者の一人です)
最近、同じ問題が発生しました。chrome 開発者ツールを使用すると、見つけやすくなりました。開発者ツールで[セキュリティ] タブに移動すると、https 以外のすべてのリクエストを見つけることができます。
JavaScriptで発生したこの問題がありました:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)
src=javascript:void(0) は避けるべきです。
Fiddler または Chrome を使用すると、この問題を見つけることができません。
フィドラーを使用します。
安全なリクエストはまったく表示されないため (非表示にできる HTTPS CONNECT を除く)、表示されるものはすべて不適切です。
Burp Suiteを使用し、スコープを Web サイトとして設定し、安全なページを参照して、どの要求が Web サイトの HTTP バージョンに対して行われたかを確認します。