en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Fixa varningar för icke-SSL-element på din webbplats

Varningar för webbläsare med blandat innehåll

Besökare på webbplatser som är skyddade av SSL förväntar sig (och förtjänar) sömlöst skydd. När en webbplats inte helt skyddar allt innehåll, visar en webbläsare en varning om "blandat innehåll". När dina kunder ser denna varning kan de reagera på två sätt. Om de inte ta säkerheten på allvar, de kommer att ignorera den, klicka igenom och antar att allt kommer att vara okej (väldigt dåligt). Om de do ta säkerhet på allvar, de kommer att ta hänsyn till det, gå tillbaka från din webbplats och anta att dig ta inte säkerheten på allvar (ännu värre).

Dessutom kommer alla moderna webbläsare att blockera de mer skadliga typerna av blandat innehåll - och genom att göra det kan du bryta din webbplats.

Den bästa lösningen är naturligtvis att se till att dessa varningar och / eller block inte kommer att inträffa i första hand genom att korrekt konfigurera din webbplats så att den endast serverar säkert innehåll.

Varför ser jag den här varningen?

En varning med blandat innehåll innebär att både säkrade och osäkrade element visas på en sida som borde vara helt krypterad. Varje sida som använder en HTTPS-adress måste ha allt innehåll som kommer från en säker källa. Varje sida som länkar till en HTTP-resurs betraktas som osäker och flaggas av din webbläsare som en säkerhetsrisk.

Varningar med blandat innehåll ingår i två kategorier: blandat passivt innehåll och blandat aktivt innehåll.

Blandat passivt innehåll

Passivt innehåll hänvisar till objekt som kan ersättas eller ändras men inte kan ändra andra delar av sidan - till exempel en grafik eller ett fotografi. Förmodligen den vanligaste orsaken till all varning om blandat innehåll är när en (teoretiskt) säker webbplats är konfigurerad för att hämta bilder från en osäker källa.

Passiva HTTP-förfrågningar visas via dessa taggar:<audio>(src attribut)
<img> (src attribut)
<video> (src attribut)
<object> subresources (när en <object> utför HTTP-förfrågningar)

Blandat aktivt innehåll

Aktivt innehåll kan ändra själva webbsidan. En man-i-mitten-attack kan tillåta att en begäran om HTTP-innehåll på vilken HTTPS-sida som helst kan fångas upp och / eller skrivas om. Detta gör skadligt aktivt innehåll mycket farligt - användaruppgifter och känslig data kan stulas eller skadlig programvara installeras på användarens system. Till exempel kan lite JavaScript på en sida för att skapa ett konto som är utformat för att hjälpa användare att generera ett slumpmässigt lösenord ersättas med kod som ger ett slumpmässigt utseende men förgenererat i stället, eller för att leverera ett annars säkert lösenord i hemlighet till en tredje part .

Aktivt blandat innehåll kan utnyttjas för att kompromissa med känsliga privata data, men även offentliga webbplatser som verkar oskadliga kan fortfarande omdirigera besökare till farliga webbplatser, leverera oönskat innehåll eller stjäla cookies för exploatering.

Aktiva HTTP-förfrågningar visas via:<script> (src attribut)
<link> (href attribut) (detta inkluderar CSS-formatmallar)
XMLHttpRequest objektförfrågningar
<iframe> (src attribut)
Alla fall i CSS där ett url-värde används (@font-face, cursor, background-image, Etc)
<object> (data attribut)

Alla moderna webbläsare blockerar aktivt blandat innehåll som standard (vilket kan bryta en felaktigt konfigurerad webbplats)

Varför och hur man fixar varningar med blandat innehåll

Att säkra din webbplats låter dina besökare lita på dig, vilket är mycket viktigt. Att eliminera allt osäkert innehåll från din webbplats har en ännu större bonus att eliminera falskt positiva varningar - om din korrekt konfigurerade webbplats är äventyrad, kommer alla osäkra element som en angripare infogar att utlösa varningen för blandat innehåll, vilket ger dig en extra tripwire att upptäcka och ta itu med dessa frågor.

Återigen är det bästa sättet att undvika problem med blandat innehåll att betjäna allt innehåll via HTTPS istället för HTTP.

För din egen domän, servera allt innehåll som HTTPS och fixa dina länkar. Ofta finns HTTPS-versionen av innehållet redan och detta kräver bara att ett "s" läggs till länkar - http:// till https://.

För andra domäner, använd webbplatsens HTTPS-version om tillgänglig. Om HTTPS inte är tillgängligt kan du försöka kontakta domänen och fråga dem om de kan göra innehållet tillgängligt via HTTPS.

Alternativt låter webbläsaren automatiskt välja HTTP eller HTTPS genom att använda ”relativa webbadresser”, beroende på vilket protokoll användaren använder. Till exempel istället för att länka till en bild med en länk med den "absoluta sökvägen" för:

Webbplatsen kan använda en relativ sökväg:

Detta gör att webbläsaren automatiskt lägger till endera http: or https: till början av webbadressen efter behov. (Observera att webbplatsen som är länkad till måste erbjuda resursen via både HTTP och HTTPS för att relativa webbadresser ska fungera.)

Följ dessa länkar för mer webbläsarspecifik information om varningar med blandat innehåll:
krom
firefox
Internet Explorer
Utmärkta verktyg för att spåra länkar som inte är SSL i din källkod är utvecklarverktygen inbyggda i firefox och krom webbläsare. Information om att tvinga en Apache-server att hantera endast HTTPS kan vara finns här.

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com