安全なページですべての安全でないコンテンツを見つける

試してみてください www.WhyNoPadlock.com httpsウェブページ上のすべての安全でないコンテンツのレポートを提供します。

SslCheck を使用できます

Webサイトを再帰的にクロールし（すべての内部リンクをたどって）、セキュリティで保護されていないコンテンツ（画像、スクリプト、CSS）をスキャンする無料のオンラインツールです。

（免責事項：私は開発者の一人です）

私はjavascriptで発生したこの問題を抱えていました：

/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
    document.write("<script id=__ie_onload defer src=javascript:void(0)><\/script>");
(.....)

Src = javascript：void（0）は使用しないでください。

FiddlerまたはChromeを使用してこの問題を見つけることはできません。

Fiddlerを使用します。

セキュリティで保護された要求はまったく表示されないため（非表示にできるHTTPS CONNECTを除く）、表示されるものはすべて不良です。

確認できます https://www.missingpadlock.com/

安全でないページを見つけるためにサイトをクロールするためのオンラインツールです。

Webサイトを所有している場合は、 Content-Security-Policyヘッダーオプションを確認する必要があります。 これらには、 リソースへのHTTPSの強制、 、または HTTPリソースをHTTPSにリダイレクトする、 など。

特に、CSPの違反を報告する密接に関連する report-uri header の Content-Security-Policy-Report-Only ディレクティブもあります。あなたの選んだウリへ。これは、サポートされているブラウザ¹ for report-uriは、問題のあるHTTPSを使用してサイトのページのレポートを継続的に送信します。Mozilla Developer Networkは PHPレポートの処理の例 。

¹ 問題のページにヒットするために完全なCSP（RO）サポートを備えたanyブラウザーを合理的に期待できる場合は、一部のブラウザーがそれをサポートしていません。

この問題が発生したときに私に何が起こったかについてのメモを残したいだけです。

突然、私のドメインに「Mixed：Insecure Items」と表示されました。原因がまったく見つかりませんでした。コンソールには、画像がリクエストされていることが表示されていました：http://www.example.com/、anywhereへの参照が見つかりませんでした。

検索して検索した結果、Chromeの[セキュリティ]タブで「安全でないコンテンツ」が表示されていたところ、「ネットワークタブに表示」と表示されていました。私がそれをクリックしたとき、それはInitiatior列以外の情報なしで、再び悪いURLを見せていました。画像を表示していたfooter_bg.jpg。

誰かが私のフッターの背景画像にコードを挿入したのだろうか？いいえ、昨日そのイメージをうっかり動かして忘れてしまったのです。そのため、ページはそこにない画像を要求し、エラーを返していました。画像へのリンクを修正し、ページを再度安全に読み込みました。

将来この問題を抱える可能性のある他の人のために。

Burp Suite を使用し、スコープをWebサイトとして設定し、セキュリティで保護されたページを参照して、WebサイトのHTTPバージョンに対して行われたリクエストを確認します。

ウェブサイト全体を一度だけ、合理的に包括的に、再帰的にスキャンしたい場合は、Bramusの mixed-content-scan CLIから。補足のJS/CSSのリンクはチェックしませんが、3年前のインターンが危険な非SSLスクリプトを作成した1つの投稿を見つけるのに最適です。

ongoingソリューションについては、 my other answer を参照してください。