Выявление небезопасного содержимого в безопасном HTML-запросе.
Привет я отлаживаю https страница с httpFox, ищет небезопасный контент. На всей странице только один небезопасный запрос, но я не могу сказать, для чего он?
httpFox помечает этот запрос... это единственный "http" запрос на странице (остальные "https"):
00: 00: 57.444 0.378 970 113575 GET 200 text / html (NS_IMAGELIB_ERROR_NO_DECODER) http: // [thebaseURL] /
где "thebaseURL" это просто корневой домен без чего-либо после него (без подпути или запроса файла)
Есть ли в заголовке ответа что-то, что могло бы быть проблемой? когда я нажимаю на строку выше, я вижу, что заголовок ответа включает "set-coookie" для двух файлов cookie... не вызовет ли проблема установка файла cookie без установленного безопасного флага?
2 ответа
Мне удалось выявить проблему, обрезав и вставив исходный HTML-код страницы в новую страницу (копируя куски HTML-кода по одному) и проверив, когда проверка SSL-сертификата прервалась.
Оказалось, что был пробитый путь изображения для 1x1-пиксельного ролика. После того, как я исправил путь к изображению, страница отображалась правильно (без ошибки "небезопасный контент").
Любопытно, что из-за отсутствующего изображения браузер отображает ошибку "страница содержит смесь защищенного и небезопасного контента", но, надеюсь, это поможет кому-то еще в будущем.
Я просто хотел добавить комментарий. Даже если ваша страница может использовать SSL, ваш контент может быть небезопасным, если вы регистрируете конфиденциальные данные на стороне сервера в журналах доступа Apache.
SSL будет только шифровать канал от браузера до веб-сервера. Сам контент не зашифрован, поэтому, если вы отправляете конфиденциальные данные и не используете HTTP POST, все эти конфиденциальные данные будут храниться в журналах доступа.