Salt la conținut
Securitate Web

Ce este Mixed Content?

Resurse HTTP (nesecurizate) pe o pagina HTTPS

Definiție Mixed Content

Mixed Content apare cand o pagina incarcata prin HTTPS (securizat) contine resurse (imagini, scripturi, fonturi) incarcate prin HTTP (nesecurizat). Acest lucru slabeste securitatea paginii si browserele moderne pot bloca aceste resurse sau afisa avertismente. Toate resursele trebuie incarcate prin HTTPS.

De ce contează Mixed Content

Incarcarea chiar si a unei singure resurse HTTP pe o pagina HTTPS permite unui atacator de retea sa modifice acea resursa — un script incarcat prin HTTP poate fi inlocuit cu cod malitios care fura toate datele de pe pagina. Chrome blocheaza automat mixed content activ (scripturi, iframe-uri) din 2020, dar resursele pasive inca genereaza avertismente.

Cum verifici Mixed Content

SoftAudit scaneaza codul sursa al fiecarei pagini si identifica toate resursele (img, script, link, iframe, video, audio) incarcate prin http://. Raporteaza separat mixed content activ (scripturi, stiluri — blocat de browsere) si pasiv (imagini, video — doar avertisment).

Verifică securitatea site-ului →

Greșeli frecvente

Migrarea la HTTPS fara actualizarea referintelor din baza de date este principala cauza — URL-urile hardcodate http:// din continutul CMS raman neschimbate. Resursele terte incarcate prin HTTP sunt adesea trecute cu vederea, mai ales fonturile si scripturile de pe domenii fara suport HTTPS.

Bune practici

Foloseste URL-uri relative la protocol (//example.com/script.js) sau exclusiv HTTPS pentru toate resursele externe si actualizeaza URL-urile din baza de date cu search-replace. Adauga directiva CSP upgrade-insecure-requests ca masura suplimentara si monitorizeaza rapoartele CSP pentru detectarea resurselor ramase pe HTTP.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica mixed content pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este Mixed Content?

Mixed Content apare cand o pagina incarcata prin HTTPS (securizat) contine resurse (imagini, scripturi, fonturi) incarcate prin HTTP (nesecurizat). Acest lucru slabeste securitatea paginii si browserele moderne pot bloca aceste resurse sau afisa avertismente. Toate resursele trebuie incarcate prin HTTPS.

De ce este important Mixed Content pentru un website?

Incarcarea chiar si a unei singure resurse HTTP pe o pagina HTTPS permite unui atacator de retea sa modifice acea resursa — un script incarcat prin HTTP poate fi inlocuit cu cod malitios care fura toate datele de pe pagina. Chrome blocheaza automat mixed content activ (scripturi, iframe-uri) din 2020, dar resursele pasive inca genereaza avertismente.

Termeni asociați

Înapoi la glosarul complet