Ce este Mixed Content?
Resurse HTTP (nesecurizate) pe o pagina HTTPS
Definiție Mixed Content
Mixed Content apare cand o pagina incarcata prin HTTPS (securizat) contine resurse (imagini, scripturi, fonturi) incarcate prin HTTP (nesecurizat). Acest lucru slabeste securitatea paginii si browserele moderne pot bloca aceste resurse sau afisa avertismente. Toate resursele trebuie incarcate prin HTTPS.
De ce contează Mixed Content
Incarcarea chiar si a unei singure resurse HTTP pe o pagina HTTPS permite unui atacator de retea sa modifice acea resursa — un script incarcat prin HTTP poate fi inlocuit cu cod malitios care fura toate datele de pe pagina. Chrome blocheaza automat mixed content activ (scripturi, iframe-uri) din 2020, dar resursele pasive inca genereaza avertismente.
Cum verifici Mixed Content
SoftAudit scaneaza codul sursa al fiecarei pagini si identifica toate resursele (img, script, link, iframe, video, audio) incarcate prin http://. Raporteaza separat mixed content activ (scripturi, stiluri — blocat de browsere) si pasiv (imagini, video — doar avertisment).
Verifică securitatea site-ului →Greșeli frecvente
Migrarea la HTTPS fara actualizarea referintelor din baza de date este principala cauza — URL-urile hardcodate http:// din continutul CMS raman neschimbate. Resursele terte incarcate prin HTTP sunt adesea trecute cu vederea, mai ales fonturile si scripturile de pe domenii fara suport HTTPS.
Bune practici
Foloseste URL-uri relative la protocol (//example.com/script.js) sau exclusiv HTTPS pentru toate resursele externe si actualizeaza URL-urile din baza de date cu search-replace. Adauga directiva CSP upgrade-insecure-requests ca masura suplimentara si monitorizeaza rapoartele CSP pentru detectarea resurselor ramase pe HTTP.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica mixed content pe site-ul tău.
Verificare Securitate — GratuitÎntrebări frecvente
Ce este Mixed Content?
Mixed Content apare cand o pagina incarcata prin HTTPS (securizat) contine resurse (imagini, scripturi, fonturi) incarcate prin HTTP (nesecurizat). Acest lucru slabeste securitatea paginii si browserele moderne pot bloca aceste resurse sau afisa avertismente. Toate resursele trebuie incarcate prin HTTPS.
De ce este important Mixed Content pentru un website?
Incarcarea chiar si a unei singure resurse HTTP pe o pagina HTTPS permite unui atacator de retea sa modifice acea resursa — un script incarcat prin HTTP poate fi inlocuit cu cod malitios care fura toate datele de pe pagina. Chrome blocheaza automat mixed content activ (scripturi, iframe-uri) din 2020, dar resursele pasive inca genereaza avertismente.