Descubra qué recursos no pasan por HTTPS

92

Tengo un sitio ASP.NET que debería transportarse completamente a través de HTTPS. Sin embargo, en Google Chrome recibo una advertencia de que la página incluye recursos que no son seguros. ¿Cómo puedo saber cuáles son esos recursos y por qué no utilizarían HTTPS?

ssl https Alex
fuente
1
pregunta similar aquí stackoverflow.com/questions/305538/…
arkoak
Ver: stackoverflow.com/a/13760256/483588
JBreton
12
Chrome Devtools> pestaña Red> haga clic con el botón derecho en cualquier encabezado de columna> haga clic en "Esquema"
Costa
Esto también se ve comúnmente cuando los usuarios incorporan imágenes de URL en publicaciones de stackexchange, usan la versión http en lugar de https.
jiggunjer
Sé que esta publicación es un poco antigua, pero en caso de que ayude a alguien, hay una aplicación de escritorio que puede ejecutar ahora para escanear e informar sobre problemas de contenido mixto encontrados en un sitio: ecommerce.co.uk/httpschecker Espero que ayude :)
stilliard

Respuestas:

44

Por lo general, esto ocurre porque está cargando imágenes, archivos de inclusión de javascript o archivos CSS externos sin usar https. Puede utilizar un programa como FireBug: http://getfirebug.com/

FireBug le dirá cómo se cargan sus elementos y cuáles no pasan por la capa ssl. Si no tiene Firefox, estoy bastante seguro de que Chrome también tiene algo similar a FireBug integrado.

He aquí cómo usar firebug:

  1. Firebug abierto
  2. Haga clic en la pestaña Consola
  3. Recargar la página
  4. Cualquier error de https se mostrará en la consola y le indicará qué recurso no está funcionando.

Espero que esto ayude

Icemanind
fuente
17
¿Podrías ser más específico?
2
Cargue la página con la pestaña Net activada. Una vez que se complete la carga de la página, coloque el cursor sobre cada entrada y la entrada GET mostrará la URL que está recuperando. Eventualmente encontrará los que se recuperan a través de HTTP en lugar de HTTPS.
Joe C
2
¿Cree que compruebe manualmente cada uno de ellos de forma específica en toda la pila de activos? ¿Qué pasa con algunos filtros https?
palmic
5
Para agregar a la solución de @ phantom, puede hacer clic con el botón derecho en una entrada en la pestaña Red y elegir "copiar todo como HAR". Esto copiará todas las entradas como un objeto similar a JSON, lo que facilita pegarlo en un editor y Ctrl-F para "http:". Sin embargo, no puedo creer que no haya una pestaña de esquema en la pestaña Red de herramientas para desarrolladores.
Protector uno
3
Me encontré con el mismo problema, pero todas las referencias de imagen, css y js eran https. Pero algunos eran rojos. Así que copié la URL y solo cuando la pegué en la pestaña de su navegador descubrí que el certificado del servidor había expirado. Entonces, esa es otra razón no obvia por la que podría obtener ese error.
Stu
87

También acabo de tener este problema en Chrome. Revisé la pestaña Red pero todos los recursos se cargaron a través de https.

Solución: cierre Chrome y vuelva a abrirlo.

Chrome debe almacenar en caché su detección de contenido seguro para que incluso cuando solucione los problemas, el mensaje de contenido inseguro no desaparezca.

mike nelson
fuente
18
Cerrar Chrome es excesivo, puedes cerrar la pestaña.
Patrick James McDougle
1
Tengo una relación de amor / odio con Chrome; problemas como este se encuentran en la columna "odio". -_- Tanto tiempo perdido en balde. Gracias por esta solución, funcionó para mí.
Mike
@MjrKusanagi gracias por el truco ... RESTART funcionó para mí también ... no pude ver nada en la pestaña de red o errores de consola ... cambié todas las opciones predeterminadas ... realmente me pregunto por qué no funcionaba ... pero obtuve el verde https: // en la barra de direcciones ..
Afortunado
Mi problema fue la etiqueta <form> en mi página. ¡El depurador de red de Webkit no le mostrará si su parámetro de acción apunta a una URL no segura!
Billy
38

No tengo nada que ver con las personas que proporcionan este script en línea, pero es fácil y se puede marcar en cualquier navegador ... funciona bien y rápidamente para resolver el problema ... http://www.whynopadlock.com

David
fuente
Oye, eso fue realmente útil, no pude encontrar al culpable hasta que probé ese script y descubrí que era una fuente de Google vinculada con http en lugar de https.
Daniel Valadas
Esto fue lo único que expuso el problema, gracias. Resultó que tenía una etiqueta <form> que hacía referencia a una acción en http, ¡no en https!
Billy
8

En Google Chrome: puede ver el recurso infractor en la Consolepestaña de la Inspect Elementventana.

Aparecerá como:

La página en https://example.com/page mostraba contenido inseguro de http : //example.com/resource

Por supuesto, es posible que deba volver a cargar la página con la Inspect Elementventana ya abierta.

Ujjwal Singh
fuente
3
Pestaña Red> haga clic con el botón derecho en cualquier encabezado de columna> haga clic en "Esquema"
Costa
1
@Costa: El problema con ese enfoque es que no enumerará el contenido que Chrome bloqueó. La solución en la respuesta muestra ambos.
colán
Esto se conoce como el "Cajón de la consola" y se abre haciendo clic en el símbolo "> ☰" cerca de la parte superior derecha del inspector.
Dale Anderson
Chrome también dará esta advertencia para los formularios en una página que se envían a ubicaciones no seguras.
Dale Anderson
Gran respuesta. Solucioné todos los problemas de http enumerados en la pestaña de mi red. pero la consola me mostró que también tenía que arreglar un destino de formulario para un boletín informativo para que usara https. Aparentemente, ningún objetivo de formulario en una página SSL puede apuntar a una página que no sea SSL.
Buttle Butkus
6

Una de las formas más fáciles de hacerlo es hacer clic derecho en la página en Firefox y seleccionar Ver información de la página. Luego vaya a la pestaña Medios y busque cualquier cosa que se cargue desde http en lugar de https.

Robert
fuente
2
Eso funciona muy bien para imágenes y similares, pero a menudo es un archivo JavaScript o CSS vinculado que hace que el HTTPS se rompa.
Joe C
Esta es la solución más rápida para encontrar el enlace culpable en una página determinada. Creo que esta es la mejor solución entre todas las soluciones de esta página. Gracias
Pavan Kumar
Esto no funciona ya que no muestra los javascripts cargados por otros scripts. Muestra solo los elementos que están directamente vinculados en el HTML
Janning
5

Nos hemos rascado nuestra propia picazón y hemos escrito una herramienta que rastrea su sitio web y le dice qué páginas tienen recursos que no son SSL. Solo necesita ingresar la URL raíz de su sitio web, no es necesario verificar cada página manualmente.

http://www.jitbit.com/sslcheck/

Max Al Farakh
fuente
2

Me di cuenta de que cuando tuve este problema, una barra de herramientas (uTorrent) estaba causando el error. Quité la barra de herramientas y el error desapareció. No estoy seguro de por qué una barra de herramientas causaría un error en mi sitio, pero no más problemas aquí con el certificado SSL.

usuario1738627
fuente
1

En Chrome, puede averiguar qué recursos se cargaron a través de http frente a https haciendo lo siguiente:

1) En el menú Llave inglesa, elija Herramientas> Herramientas para desarrolladores

2) Haga clic en el icono de la barra de herramientas "Recursos"

3) Expanda la carpeta Frames para ver las diferentes páginas. Expanda la página cuyos recursos desea ver. A continuación, se enumeran los recursos individuales de la página, desglosados ​​por imágenes, secuencias de comandos y hojas de estilo.

4) Para ver la URL que se usó para cargar ese recurso, simplemente pase el mouse sobre el nombre del recurso y aparecerá la URL, ya sea con http o https. También puede hacer clic en el nombre de una imagen para ver la imagen en el lado derecho, junto con su URL.

Eric Barr
fuente
3
Ficha Red> haga clic derecho en cualquier encabezado de columna> haga clic en "Esquema"
Costa
Excelente. ¿Por qué lo llaman Esquema en lugar de Protocolo? : /
Aamir Afridi
1

Para agregar a esto, hice clic con el botón derecho en los encabezados de las columnas en la vista de la pestaña Red y seleccioné Protocolo.

Si luego hace clic en el encabezado Protocolo, el contenido del informe se agrupará por HTTPS, etc.

usuario2719619
fuente
En Chrome v69, creo que es la columna "Esquema" la que sería más útil en este caso.
Tasos
0

Chrome tiene su propia herramienta de desarrollo.

puede hacer clic derecho en una página, inspeccionarla ... y luego hacer clic en la pestaña "red" y volver a cargar la página. verá el flujo de trabajo.

Sam
fuente
0

No sé si alguien revisará esta respuesta O es posible que ya haya encontrado la solución, pero de todos modos, mi respuesta podría ayudar a otras personas que sufren un problema similar

http://www.whynopadlock.com/

Este es el enlace que utilicé para verificar el contenido / archivo inseguro que se estaba cargando en mi página.

Espero eso ayude. :)

prakashchhetri
fuente
0

Acabo de descubrir el mismo comportamiento en Chrome (Firefox mostró un candado verde), aunque todos los recursos se cargaron a través de https.

La razón en mi caso fue que el servidor admitía SSLv3 roto (caniche de Google).

Configuración de ssl_protocols para excluir SSLv2 en nginx.conf así

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE

solucionó el problema por mí.

Considero lamentable que Chrome no haga que esta razón sea más transparente. "esta página carga algunos recursos de forma insegura" es muy engañoso, si no incorrecto.

molecular
fuente
0

Si desea rastrear su propio sitio desde su propio escritorio para obtener una lista de todos los recursos cargados (aunque no cargados por javascript, lo cual vale la pena tener en cuenta), si usa Windows, puede usar el detective de enlaces de Xenu . Exporte el archivo TSV y luego haga clic derecho y ábralo con Excel, luego ordene por URL, ¡luego puede encontrar esos molestos recursos http para todas las páginas del sitio!

Kerridge0
fuente