Блокирует https как исправить

В данной статье мы расскажем, почему может возникнуть такие ошибки и как их исправить.

Необходимость перехода на HTTPS — это затертая пластинка. Большинство коммерческих сайтов и читаемых блогов уже давно работают на защищенном протоколе. Казалось бы, перешли и забыли. Но нет — Google не дремлет. В свое время он промотивировал вебмастеров переходить на HTTPS, сделав его фактором ранжирования. А теперь пустил в ход «негативное подкрепление» — начал тотальную блокировку ресурсов, подгружаемых по HTTP. И — сюрприз — ваш прекрасный HTTPS может ему не понравиться, потому что на сайте присутствует смешанный контент.

Разбираемся, почему Google его не любит, как его найти и сделать так, чтобы все было хорошо.

Иногда возникает следующая ситуация: вы заказали доверенный SSL сертификат, прошли проверку центром сертификации, установили сертификат на сервер. Все сделали верно, но при попытке перейти на ваш ресурс, браузер выдает ошибку: «Не удалось загрузить сайт, заблокирована загрузка смешанного активного содержимого». Или же, как вариант, веб-сайт загружается, но вместо закрытого замка в адресной строке браузер показывает желтый треугольник и сообщает о том, что соединение зашифровано только частично. Причина этих проблем – или
(в английском варианте — mixed content) на вашем сайте.
Что же представляет собой смешанный контент? И, самое главное, как от него избавиться?

Что такое защищенное соединение

Для передачи информации в интернете используется 2 протокола — HTTP и HTTPS.

HTTP
(HyperText Transfer Protocol) — это протокол передачи гипертекста, который предназначен для передачи информации между клиентом и сервером. Раньше HTTP использовался только для гипертекстовых документов, но сейчас он может передавать любые данные: текст, картинки, видео, аудиофайлы. По протоколу HTTP данные передаются в незашифрованном виде, поэтому он не является безопасным.

HTTPS
(HyperText Transfer Protocol Secure) — это защищенный протокол передачи данных. Его отличие от HTTP в том, что по нему информация передается в зашифрованном виде. Это обеспечивает безопасную передачу данных. Чтобы сайт работал по протоколу HTTPS, необходимо приобрести SSL-сертификат
, установить его
и настроить сайт для работы по HTTPS
.

Раньше защищенное соединение не было обязательным. Сейчас же браузеры оповещают пользователей о том, что сайт не защищен. Оповещения отображаются в строке URL-адеса или же на весь экран выводится сообщение с ошибкой «Соединение не защищено».

Почему смешанное содержимое блокируется?

По сути, смешанное содержимое или смешанный контент – это смешанные скрипты протоколов https и http
. Дело в том, что если не все наполнение сайта состоит из файлов, загружаемых по протоколу https, и на странице имеется часть контента, загружаемого по протоколу http, то такое соединение может быть защищено только частично
. В результате, казалось бы безопасное соединение является не совсем безопасным. Почему же возникают проблемы со смешанным содержимым, и к каким последствиям может это привести? SSL сертификат гарантирует защищенное https-соединение. Соответственно, при установленном SSL сертификате страницы веб-сайта должны загружаться только по протоколу https. Если использовать на безопасном сайте также части контента по http, появляются пробелы в безопасности соединения между веб-сайтом и Интернет пользователем. Следовательно, мошенники или просто третьи лица, заинтересованные в получении конфиденциальных данных, могут заменить части сайта с http на преднамеренно измененную информацию и тем самым скомпрометировать веб-страницу. Заполучив личную информацию посетителей, ее могут использовать в своих корыстных целях.

Что такое смешанное содержимое?

• URL-адрес веб-сайта начинается с , а не http (например, https://emaro-ssl.ru
  )
• В адресной строке браузера отображается иконка закрытого замка
  (чаще всего зеленого цвета)
• Хорошо, если на сайте установлена или (но ее добавление опционально, поэтому ее отсутствие не всегда говорит об отсутствии SSL сертификата)
• Если на сайт установлен SSL сертификат с расширенной проверкой
  , зеленая строка будет содержать и название компании-владельца домена на зеленом фоне
  .

Тем не менее, в некоторых случаях возникают проблемы с отображением содержимого сайта при наличии смешанного содержимого: например, в Google Chrome в адресной строке вместо зеленого замка показывается замок, перекрытый желтым треугольником. В Mozilla Firefox вместо замка показывается треугольник с восклицательным знаком, как на картинке ниже.

Кроме того, в окне браузера может появляться сообщение о том, что веб-страница содержит смешанное содержимое и информация отображается частично, либо полностью заблокирована и не отображается вообще. В каждом браузере сообщение о смешанном контенте может показываться по-разному, но суть одна – пользователь получает предупреждение и не сможет просмотреть все содержимое страницы, что, соответственно, оказывает негативное влияние на конверсию сайта в целом.

Internet Explorer:

Internet Explorer сообщает, что отображено только безопасное содержимое сайта, предоставленное через безопасный протокол https. У вас есть возможность отобразить весь контент страницы нажатием кнопки “Show all content” («показать все содержимое»).

Google Chrome:

Браузер Google Chrome пишет, что данная страница содержит скрипт из непроверенного источника. Вы можете загрузить все содержимое сайта, нажав на ссылку “Load unsafe content” (“Загрузить небезопасное содержимое)”.

Mozilla Firefox:

Что такое смешанный контент и почему его не должно быть на сайте

Смешанный контент (в оригинале — «mixed content») — это когда страница загружается по защищенному HTTPS соединению, но отдельные ресурсы (изображения, стили, скрипты и проч.) — по незащищенному HTTP.

Например, вы перешли на HTTPS (еще нет? вот инструкция
). Но на одной из страниц вы по-прежнему загружаете изображение из внешней библиотеки, которая доступна по адресу вида site.ru
. Это и есть смешанный контент.

Согласно спецификации W3C
, смешанный контент делится на два вида:

• опционально блокируемый (сюда относятся изображения, видео, аудио);
• блокируемый (остальной контент — скрипты, стили, фреймы, flash и проч.).

Блокируемый контент является активным. Злоумышленники могут перехватить и изменить активный контент так, чтобы получить полный контроль над страницей или даже всем сайтом. Кража паролей и личных данных пользователей, cookies, перенаправление пользователей на другой сайт, изменение видимого содержимого — это лишь несколько примеров того, какие угрозы несет загрузка активного контента по HTTP.

Из-за высокого потенциального ущерба и риска для пользователей браузерам рекомендовано блокировать такой смешанный контент.

Вот некоторые типы HTTP-запросов, которые считаются активным содержимым:

• <script> (атрибут src);
• <link> (атрибут href) (в том числе ссылки в CSS);
• <iframe> (атрибут src);
• запросы XMLHttpRequest;
• запросы fetch();
• использование ссылок в CSS (font-face, cursor, background-image);
• <object> (атрибут data).

Опционально блокируемый контент является пассивным. Если злоумышленники его перехватят, они не смогут нарушить работу сайта или завладеть, например, платежными данными пользователей.

Но опасность сохраняется. Например, злоумышленники могут перехватить изображения или видео и заменить их другими. Это может нанести серьезный ущерб репутации (свежи в памяти истории о появлении видео или картинок с порнографическим содержимым на сайтах федеральных каналов или госучреждений). Кроме того, злоумышленники могут отслеживать, какие страницы просматривали пользователи, какими продуктами интересовались, какой контент просматривали.

Вот типы HTTP-запросов, которые считаются пассивным содержимым:

• <img> (атрибут src);
• <audio> (атрибут src);
• <video> (атрибут src).

Если вы не хотите, чтобы ресурсы на вашем сайте были заблокированы, проведите его аудит, найдите смешанный контент и сделайте так, чтобы он был доступен по HTTPS.

win 10 x64 home.

err_connection_reset на https://nnm-club.ws
(т.е дропается соединение программно)

на nnm-club.ws
— все нормально. браузер — любой. абсолютно. дело не в нем. нет, не провайдер потому что загрузившись с xp/*nix проблемы не возникает. проблема где-то в самой системе. все остальные https работают отлично. торренты с другого трекера отлично тянутся. магнет ссылки с ннм тоже вполне себе работают и качаются, ибо сам торрент-клиент использует nnm-club.info. если дать torrent клиенту .torrent с ннм — опять же, все хорошо, что логично

история такова: изначально все было нормально,я благополучно стянул софтину, заинсталлил ее, win defender в процессе ругнулся на crack, добавил в исключения, система ушла в ребут после автоапдейта, после ребута — домен умер во всех браузерах. в процессе инсталла-руганий-добавлений-ребутов качать ничего не пытался, т.ч в какой ИМЕННО момент появилась проблема — не знаю.

hosts — чист.

ни в одном правиле родного фаерволла винды (и он выключен. был есть и будет) нет упоминания о nnm. в windows guard все чисто на тему nnm (да и негде там, только исключения/удаленные/карантин можно посмотреть. впрочем, оттуда тоже все снесено, ибо все срабатывания — ложные, кряки да активатор винды), сейчас он вообще снесен (выключен полностью. служба отключена powershellом) — не он.

реестр по запросу поиска nnm тоже чист

сертификаты — тоже.

там, где можно было пройтись ctrl+f по журналам винды — прошелся. тоже глухо

проходился CureItом на всякий случай — молчит, что неудивительно, никогда на этом пк не было ничего, кроме пары рекламных высеров

также слабо представляю как ребут после апдейта винды мог повилять на один (!) https (!) домен, даже оставив http домен нетронутым. т.ч тоже версия пролетает.

лишних процессов в системе нет, проверил тоже почти сразу.

все это очень странно, передаю привет редмонду и десятым окошкам. в конце концов, это ж не bittorrent.exe детектился как малварь и я искренне не понимаю с чего вообще системе блокировать домен.

ниже — обсуждение с приятелем, свои мысли по вопросу.

[19.08.2015 0:24:10] Никита: это все же win10 что-то блочило

[19.08.2015 0:24:21] Никита: и самое грустное, что я так и не понял где именно. хотя было ясно и так, что это винда

[19.08.2015 0:24:28] Никита: когда я ребутнулся в хр и все хорошо было

[19.08.2015 0:24:42] Никита: destroy windows 10 spying софтинкой прошелся — проблема ушла

[19.08.2015 0:24:47] Никита: занятно.

[19.08.2015 0:25:06] Никита: предположу, что windows defender, который я тоже снес, но бредово звучит тоже

[19.08.2015 0:25:39] Никита: на «шпионаж3000» мне похуям, изначально качал чтобы выпилить win defender и прочую фигню а-ля onedrive, ибо не требуется он мне

[19.08.2015 0:25:51] Никита: прошелся ей по всему, чему можно — проблема решилась. занятно.

по итогам повторюсь, что что-то в системе блокирует https://nnm-club.ws

уже сломал себе всю голову, но так и не понимаю что это может быть. помогайте, господа. баг десятки? не похоже, ибо изначально все работало, да и после прохода destroy win10 spying тоже. а через сутки снова сломалось на пустом месте.

сразу добавлю, что подключение — pppoe напрямую. роутеров нет. да и не важно, учитывая, что при ребуте в другую ос все становится хорошо.

сторонние фаерволлы/антивирусы и всякое подобное отсутсвуют. впрочем, системные тоже выпилены.

и да, само собой я гуглил. много гуглил. только вот толку ноль. stackoverflow тоже смотрел

// заранее извиняюсь, что вопрос написан не слишком литературно. до этого писал в поддежку самого ресурса и текст стянул оттуда же, дабы не переписывать, исключив весь мат.

Как Google мотивирует переходить на HTTPS

Борьба Google за безопасность передачи данных путем использования HTTPS началась давно:

• 2019 — Google объявил
  , что будет планомерно двигаться к тому, чтобы на HTTPS страницах загружались только HTTPS ресурсы. Как следствие, Chrome начнет блокировать смешанный контент
  .

Блокировка будет внедряться постепенно:

• Декабрь 2019 — в Chrome 79 появится возможность разблокировать заблокированное содержимое. С помощью этой опции можно будет разблокировать скрипты, фреймы и другие виды контента, которые Chrome блокирует по умолчанию. Выглядеть эта опция будет так:

• Январь 2020 — в Chrome 80 аудио- и видеоконтент будет автоматически загружаться с HTTPS. Если загрузка по HTTPS не будет успешной, Chrome заблокирует такие ресурсы. При необходимости пользователи смогут вручную разблокировать их. В Chrome 80 изображения, загружаемые на HTTPS-сайтах c HTTP, блокироваться не будут, но появится сообщение, что соединение небезопасное.

• Февраль 2020 — в Chrome 81 изображения будут автоматически загружаться с HTTPS. Если они окажутся недоступными, браузер заблокирует их.

Блокировка смешанного контента применяется не только в Chrome. Например, активное содержимое блокирует Firefox (с версии 23), Internet Explorer (с версии 9) и другие браузеры. Но к блокировке картинок, аудио и видеоконтента приступили именно в Google.

В результате стимулирования перехода на защищенный протокол доля сайтов, которые используют HTTPS, за последний год увеличилась
с 43,5% до 56,5%.

А 85% страниц
, загружаемых в Chrome пользователями из России, передают данные по HTTPS. В 2015 году этот показатель был всего 28%.

С учетом того, что в России браузер Chrome использует около 41% пользователей, к блокировке смешанного контента стоит подготовиться, чтобы не потерять трафик и позиции в органике.

Модуль SEO
в системе Promopult: все инструменты для улучшения качества сайта и поискового продвижения. Полный комплекс работ — с нами вы не упустите ни одной мелочи. Чек-листы, подсказки, прозрачная отчетность и рекомендации профессионалов. Гарантии, оплата работ в рассрочку.

Давайте разбираться по порядку.

Ошибка «Подключение к сайту не защищено»

Самая распространенная причина отсутствия HTTPS-соединения — отсутствие SSL-сертификата на сайте. В этом случае пользователь не может повлиять на проблему, он может лишь подключиться к сайту по незащищенному HTTP-соединению.

Помимо этого, есть еще несколько проблем, которые могут возникнуть как на стороне пользователя, так и на стороне владельца ресурса.

«Подключение не защищено»: как исправить в Google Chrome и других браузерах владельцу сайта

«Подключение не защищено» — как исправить эту ошибку, если вы владелец сайта?

Чаще всего ошибка возникает по следующим причинам:

• Установлен самоподписанный сертификат.
  SSL-сертификат можно купить
  или выпустить самостоятельно. Бесплатный самоподписанный сертификат тоже обеспечивает безопасность передаваемых данных, но браузер не доверяет таким сертификатам, поскольку они не верифицированы сторонним сертификационным центром. Из-за этого в браузере возникает ошибка. Платные сертификаты не только шифруют данные, но и гарантируют, что информация о домене и его владельце проверена независимым источником.
• Срок действия SSL-сертификата истек.
  SSL-сертификаты приобретаются на определенный срок, чаще всего на 1 год. Когда срок приобретенного сертификата истекает, на сайте возникает ошибка. Чтобы исправить ее, нужно продлить SSL-сертфикат
  . Рекомендуем подключить автопродление SSL-сертификата, чтобы избежать ошибки.
• Сайт не настроен для работы по HTTPS.
  После покупки SSL-сертификата необходимо настроить сайт для работы по HTTPS
  . Если этого не сделать, на сайте будет возникать ошибка.
• Подключение к сайту защищено не полностью.
  Если владелец сайта установил SSL-сертификат и сделал переадресацию на HTTPS, внутри сайта могут остаться ссылки на внутренние страницы сайта или файлы, которые работают по HTTP. В таком случае браузер будет считать сайт небезопасным и выдавать ошибку. Чтобы исправить ее, владельцу сайта необходимо найти все HTTP-ссылки и перевести их на HTTPS. Если вы используете CMS WordPress, то можно воспользоваться специальным плагином Really Simple SSL
  .

«Подключение не защищено»: как убрать ошибку на стороне пользователя

Как отключить ошибку «Подключение не защищено» в Google Chrome и других браузерах, если вы пользователь? Прежде чем изменять настройки, убедитесь, что проблема не в вашем устройстве. Попробуйте открыть сайт на другом ПК или смартфоне. Если с другого устройства сайт открывается корректно, а на вашем устройстве возникает ошибка, попробуйте один из следующих способов решения проблемы:

1. Проверьте корректность даты и времени.
   Для установки соединения между сайтом и браузером важно, чтоб время и дата совпадали. Если на вашем устройстве установлены неправильные дата и время, это может стать причиной возникновения ошибки подключения. Время не должно быть выверенным до секунды, достаточно чтоб совпадал день и час. Некоторые браузеры научились выявлять эту проблему и при ее возникновении выдают соответствующее оповещение.
2. Почистите кеш и куки.
   Во временных данных могла сохраниться старая версия сайта с ошибкой. В таком случае сайт будет открываться некорректно, даже если ошибку уже устранили. Помимо этого, переполненная память кеша и куки влияет на работу браузера и может вызвать ошибки.
3. Отключите расширения.
   Иногда расширения могут мешать корректной работе браузера. Если вы недавно установили новые расширения, попробуйте отключить или удалить их.
4. Отключите антивирус и брандмауэр.
   Иногда антивирус и брандмауэр блокируют работу подозрительных сайтов. Если вы точно уверены в том, что ресурс безопасен, попробуйте временно отключить антивирус и брандмауэр. Если вы не уверены в безопасности сайта, делать этого не стоит.
5. Обновите браузер.
   Старые версии браузера со временем теряют свою актуальность. Если у вас старый браузер, обновите его.
6. Проверьте файл hosts.
   Злоумышленники могли проникнуть в файл hosts на вашем устройстве и подменить IP-адрес сайта. В таком случае вы попадаете на сайт-двойник, указанный мошенниками. Браузер или антивирус может заподозрить подмену и сообщить вам об этом, выдав ошибку. Откройте файл hosts и удалите из него посторонние записи.
7. Попробуйте подключиться к другой сети Wi-Fi.
   Ошибки могут возникать при использовании публичной сети Wi-Fi из-за их неправильной конфигурации. Попробуйте подключиться к другой сети или использовать VPN.

Отчет по смешанному контенту в Screaming Frog SEO Spider

Это, наверное, самый удобный способ. Но, в отличие от предыдущих, он платный. Стоимость программы Screaming Frog SEO Spider
— £149 в год.

Для получения данных запустите отчет «Insecure Content» — и у вас будет список ресурсов с HTTP.

О том, как спарсить с помощью Screaming Frog практически любые данные с любого сайта, читайте
в блоге PromoPult.

Как подключиться по небезопасному соединению

Ниже мы расскажем, как подключиться к сайту по HTTP при появлении ошибок  «подключение не защищено», «невозможно установить безопасное соединение», «этот сайт не может обеспечить безопасное соединение» в Google Chrome, Mozilla Firefox, Safari и Яндекс. Браузере.

Google Chrome

1. Нажмите «Дополнительные»:

2. Нажмите на ссылку «Перейти на сайт example.com (небезопасно)»:

Mozilla Firefox

1. Нажмите «Дополнительно…»:

2. Выберите «Принять риск и продолжить»:

Safari

1. Нажмите «Подробнее»:

2. Нажмите на ссылку «посетить этот веб-сайт»:

Яндекс. Браузер

1. Нажмите «Подробности»:

2. Выберите «Сделать исключение для этого сайта»:

Как устранить смешанный контент

Итак, вы обнаружили на своем сайте смешанный контент. Примерно половина работы сделана. Но нужно еще устранить его. Единого решения нет — действовать придется по ситуации.

Ссылки с HTTP могут вести на внутренние ресурсы и внешние.

После перехода на HTTPS все внутренние ресурсы должны подгружаться с HTTPS. Обычно меняют абсолютные ссылки на относительные, настраивают редиректы, и проблема сразу решается.

С внешними ресурсами не все так просто.

Идеальный сценарий такой:

• находите URL с HTTP;
• проверяете, доступен ли этот же ресурс по HTTPS;
• если да, меняете ссылку с HTTP на HTTPS;
• проверяете — если все работает, забываете о проблеме.

Но бывает, что ресурсы недоступны по HTTPS. В таком случае есть три решения:

1. Обратиться к владельцу ресурса и попросить его перейти на HTTPS (это из разряда фантастики).
2. Найти безопасную альтернативу ресурсу на HTTP (все приличные ресурсы давно перешли на HTTPS).
3. Ничего не делать (это крайний случай — если вы совсем никак не можете заменить ресурс, и он важен для ваших пользователей).

Чисто технически проще заменить единичный URL (например, в статье вы сослались на сайт без HTTPS). Достаточно открыть исходный код и внести правку.

Но есть URL, которые не исправить одним движением. Например, сюда относятся ссылки в стилях, скриптах, сквозные ссылки и т. п. В этом случае следует подключить программиста или использовать плагины.

Например, для WordPress есть такие плагины:

После замены можно будет просмотреть детали — какие именно ссылки и в каких частях кода были заменены.

При использовании плагинов важно четко понимать, что вы делаете. Мы не рекомендуем вносить изменения без предварительного создания резервной копии сайта. Так вы всегда сможете вернуться к исходной точке.

И да пребудет с вами сила HTTPS.

Каким бывает смешанный контент?

Существует два вида смешанного содержимого: активное
и пассивное
. Разница между ними состоит в том, как мошенник может использовать ту или иную часть страницы и какими могут быть последствия для пользователей. Давайте разберемся подробнее:

Пассивное смешанное содержимое

Пассивное смешанное содержимое

(от англ. Mixed passive content или Mixed display content) – часть страницы, которая отображается на сайте, несет в себе какую-либо информацию, но напрямую не влияет на функционирование сайта. Пассивный смешанный контент появляется, когда на защищенной веб-странице загружается картинка, видеозапись, звуковой файл или объект через http протокол. Мошенники могут заменить соответствующую часть контента дезориентирующей информацией, содержащей cookie-файлы, и таким образом смогут собирать информацию о перемещении пользователя на страницах. Картинку на сайте потенциально могут заменить другим изображением, содержащим неверную информацию или какой-либо призыв к пользователю. Большинство браузеров не блокируют полностью все содержимое пассивного типа, а предупреждают о присутствии такой информации на сайте в виде специального знака , как это было показано на примерах выше. Такой вид смешанного содержимого встречается очень часто на различных веб-сайтах. Предупреждение о смешанном пассивном содержимом на Google Chrome выглядит так:

Виды пассивного смешанного контента:

• src атрибут <audio> — звуковой файл
• src атрибут <img> — изображение
• src атрибут <video> — видеозапись
• субресурсы <object> — запрос каких-либо файлов веб-сайта по http

Активное смешанное содержимое

Активное смешанное содержимое

(от англ. Mixed Active Content) – куда более опасный тип смешанного контента. В данном случае через небезопасный http протокол загружаются файлы, которые могут вносить изменения на странице, загружаемой по https-соединению, и потенциально украсть личные данные, вводимые пользователями. Таким образом, вместе с описанными выше рисками, которым подвергает безопасность страницы пассивный контент, активное смешанное содержимое влечет за собой и другие, более опасные угрозы. Так, с его помощью мошенник может перехватить запрос на http контент или изменить ответ сервера, добавив в него вредоносный код JavaScript, который в свою очередь может украсть имя пользователя и пароль, заполучить личные данные или попытаться установить вредоносное ПО на операционной системе пользователя. Большинство браузеров блокирует активное смешанное содержимое. К нему относятся следующие http запросы:

• data атрибут <object> — выбор файла, который отображается на странице
• href атрибут <link> — исходящие ссылки
• src атрибут <script> — файл скрипта
• src атрибут <iframe> — файл, отображаемый во фрейме
• атрибут XMLHttpRequest – объект, с помощью которого JavaScript делает http-запросы к серверу, не перезагружая страницу

Как исправить смешанное содержимое?

После установки SSL сертификата, необходимо обязательно проверять, правильно ли работает веб-страница, корректно ли настроена переадресация, все ли ссылки внутри сайта открываются по протоколу https. Для проверки смешанного контента рекомендуем использовать браузер Google Chrome.

1. В первую очередь обратите внимание, как отображается Ваш URL-адрес. Если замочек перед адресом зеленый – проблем с https-соединением нет. Если он перекрыт желтым треугольником, скорее всего, речь идет как раз о смешанном содержимом.
2. В окне кликните правой кнопкой мыши и перейдите по ссылке «Просмотр кода элемента». Это же можно сделать, нажав комбинацию клавиш Ctrl+Shift+I.
3. Внизу окна браузера появится окно, перейдите в последнюю вкладку Console («Консоль»). В ней будут перечислены проблемные ссылки после предупреждения «Mixed Content: и далее перечисление файлов, которые загружаются по протоколу http», как на примере ниже:

Все, что Вам нужно сделать, — это заменить все http-ссылки на https
. Для того, чтобы избежать появления смешанного содержимого при переходе на https, рекомендуем изначально все ссылки внутри сайта оформлять как динамические. Тогда при переходе на https-соединение, они автоматически будут меняться на https-ссылки.

Как обнаружить смешанный контент на сайте

Есть разные способы узнать о том, что на вашем сайте есть смешанный контент.

По иконке в адресной строке браузера

Это самый очевидный способ. Откроем для примера защищенную страницу
с изображением, которое подгружается по HTTP. Исходный код страницы такой:

В браузере Chrome видим иконку, при клике по которой получаем пояснение:

В Mozilla Firefox похожая история:

• непонятно, какие именно ресурсы подгружаются по HTTP;
• придется каждую страницу проверять вручную.

Поэтому это скорее индикатор, нежели полноценный способ поиска смешанного контента.

С помощью поиска по исходному коду страницы

Открываем исходный HTML код страницы в браузере (Ctrl + U) и ищем фрагмент «http:» (Ctrl + F).

В этом случае мы точно знаем, какие ресурсы подгружаются по HTTP. Но если страниц на сайте много, этот способ не подходит.

Уведомления в консоли разработчика

Открываем в Chrome страницу
, которую хотим проверить, и нажимаем Ctrl + Shift + I. На странице есть смешанный контент, о чем свидетельствуют ошибки «Mixed Content» с подробным описанием.

Аналогично можем проверить наличие ошибок в Firefox:

Преимущество способа в том, что в консоли собираются сразу все ошибки, связанные с загрузкой смешанного контента на странице. Недостаток — опять же, придется каждую страницу проверять вручную.

SSL-чекер от JitBit

JitBit
— это быстрый способ определить страницы сайта, на которых есть смешанный контент. Указываем домен — получаем список «проблемных» URL.

Недостаток в том, что непонятно, какой именно смешанный контент есть на страницах. Придется потом все проверять вручную. Кроме того, сервис не подходит для сайтов, у которых более 300-400 страниц.

Отчет по смешанному контенту в Lighthouse

Этот способ позволяет получить данные сразу по массиву URL. Вам не придется проверять каждый URL вручную, и вы будете видеть полный список ресурсов, которые подгружаются по HTTP.

Но по умолчанию в расширении Lighthouse нет отчета по смешанному контенту. Его необходимо запускать из командной строки. Как это сделать:

1. Установите браузер для разработчиков Google Canary
.

2. Установите Node.js
.

3. Запустите командную строку Node.js.

4. Выполните команду:

   npm install -g lighthouse  
  

Начнется инсталляция Lighthouse.

После успешного завершения установки вы получите такое уведомление:

5. Запустите отчет с помощью команды (вместо URL подставьте адрес страницы в формате site.ru
):

   lighthouse --preset="mixed-content" URL  
  

Начнется формирование отчета.

После завершения система сообщит, в какой папке хранится отчет.

По умолчанию отчеты сохраняются в формате HTML.

Вы можете изменить формат вывода данных с помощью команды —output. Для получения справочной информации по этой и другим командам введите в консоли:

   lighthouse --help  
  

В отчете два аудита:

1. Использование HTTPS.
2. Безопасная загрузка ресурсов.

Если есть проблемы, будет указано, какие именно ресурсы подгружаются по HTTP.

Отчет Lighthouse Mixed-Content сразу для нескольких URL

Для проверки нескольких URL:

1. Создайте TXT файл и поместите в него список URL для проверки.

2. Создайте файл BAT и поместите в него такой код (в кавычках укажите путь к своему TXT файлу и его название):

   @For /F "UseBackQ Delims=" %%A In ("C:\Users\light\urls.txt") Do @LightHouse "%%A" --preset="mixed-content"  
  

3. Запустите файл BAT из командной строки. Если файл хранится в той же папке, что и отчеты, достаточно просто прописать название файла и нажать Enter. В противном случае нужно написать start и через пробел указать адрес файла BAT.

Сколько придется ждать — зависит от количества URL в текстовом файле. По каждому URL вы получите отдельный отчет.

За этот способ спасибо Christopher Giezendanner
.