你怎么能准确地说出哪些不安全的项目导致浏览器警告混合安全和不安全的项目？

Question

在Firefox中，我查看我的网站，并且不会收到有关不安全混合内容的警告。

使用FireBug，我可以看到每个请求都是https。

在Chrome中，我在地址栏中将https划掉了。

我在Chrome中查看了源代码，然后运行了此正则表达式/http(?!s)/，但它发现的唯一内容是某些外部链接的href属性以及文档类型和http-equiv元标记。< / p>

使用Chrome的资源跟踪显示所有请求都是https。

这包括谷歌分析，来自谷歌CDN的jQuery和像脚本一样的Facebook。

我是否可以使用任何特定工具来显示非https个请求，或者我可以尝试的其他任何内容？

Answer 1

我发现即使没有混合内容，我也会在Chrome中获得“混合内容”警告，如果某个时间会话期间已经在域中遇到混合内容。

（这里也提到：Why is Chrome reporting a secure / non secure warning when no other browsers aren't?）

Answer 2

在Chrome的开发人员工具中，“控制台”标签显示由于不安全而无法加载的资源。

Answer 3

您可以将“方案”列添加到Chrome开发者工具网络标签，以显示通过http或https发送的请求：

1. 按F12显示开发人员工具
2. 切换到“网络”标签
3. 右键单击列标题，然后选择“Scheme”
4. 重新加载页面以显示通过http或https
加载哪些元素

Answer 4

在这样的情况下，确切地查看用于加载资源的协议是有帮助的，我建议Fiddler2作为浏览器无关的解决方案，它可以准确显示每个请求上发生的流量。< / p>

来自网站：

  

Fiddler是一个Web调试代理，它记录您的计算机和Internet之间的所有HTTP（S）流量。 Fiddler允许您检查所有HTTP（S）流量，设置断点，并“输入”传入或传出数据。 Fiddler包含一个功能强大的基于事件的脚本子系统，可以使用任何.NET语言进行扩展。

编辑：浏览器内的调试工具变得非常好，因此这个第三方工具可能没有首次编写此答案时那么有用。

Answer 5

打开Web Inspector并在右上角找到黄色三角形（警告）。单击它，它将显示所有安全问题。

Answer 6

在第48个版本的Chrome中，他们添加了security panel。使用它，您可以快速识别混合内容资源：

Answer 7

你有FireFox的HttpFox插件吗？我认为那是行得通的。 除此之外，它还报告网页请求的所有资产的URL，方法，结果代码和字节。这是我用来捕获偶尔的非HTTPS图形等等。我相信其他建议的工具会做同样的事情......

Answer 8

您可以使用SslCheck

它是一个免费的在线工具，可以递归地（在所有内部链接之后）抓取网站并扫描非安全包括 - 图像，脚本和CSS。

（免责声明：我是其中一位开发人员）

Answer 9

我知道这篇文章已经过时了，但我碰到了它并遇到了同样的问题。我点击了Chrome菜单（右上角），向下滚动到工具＆gt;和选定的开发者工具。单击控制台选项卡，它告诉我确切的问题是什么... favicon是通过http而不是https提供的，但当然它不在页面源代码中。更正了我的CMS中的问题，它在页面中没有代码的情况下加载了favicon，而且没有更多的错误！

Answer 10

请注意＆＃39;混合内容＆＃39;和混合脚本＆＃39;被分开检测到。请访问此网站，了解Chrome中图标的含义：https://support.google.com/chromebook/answer/95617?p=ui_security_indicator&rd=1（点击＆＃39;查看详细信息＆＃39;链接）。

灰色图标=混合内容，红色图标=混合脚本。