ZenovayTools

Mixed-Content-Prüfer

Scannt HTTPS-Seiten nach HTTP-Unterressourcen (blockierend: Skripte/Stylesheets/iframes; passiv: Bilder/Medien). Erkennt CSP upgrade-insecure-requests. Bewertung A–F.

So verwenden Sie Mixed-Content-Prüfer

  1. 1Geben Sie Ihre HTTPS-URL ein, um sie auf gemischte Inhalte zu überprüfen.
  2. 2Das Tool ruft den Seiten-HTML ab und scannt alle Ressourcenattribute nach HTTP://-URLs.
  3. 3Die Ergebnisse werden in blockierende (Skripte, CSS, iframes) und passive (Bilder, Medien) Inhalte aufgeteilt.
  4. 4Überprüfen Sie die CSP-Empfehlung, um unsichere Anfragen automatisch zu aktualisieren.
ZenovayAnalytics

Sehen Sie, wer gerade auf Ihrer Seite ist.

  • Besucher-Tracking in Echtzeit
  • Datenschutz zuerst, kein Cookie-Banner
  • In zwei Minuten eingerichtet
Zenovay entdecken

Verwandte Tools

Passwort-Generator
Generieren Sie starke, zufällige Passwörter mit anpassbarer Länge, Zeichen und Komplexität.
Passwort-Stärke-Prüfer
Überprüfen Sie, wie stark Ihr Passwort ist. Erhalten Sie eine geschätzte Knackzeit und Verbesserungsvorschläge.
HMAC-Generator
Generieren Sie HMAC-Signaturen mit SHA-256, SHA-384 oder SHA-512 mit der Web Crypto API.
AES-Verschlüsselung/Entschlüsselung
Verschlüsseln und entschlüsseln Sie Text mit AES-GCM und PBKDF2-Schlüsselableitung. Läuft vollständig in Ihrem Browser.

Häufig gestellte Fragen

Was ist Mixed Content?
Mixed Content tritt auf, wenn eine HTTPS-Webseite Unter-Ressourcen (Skripte, Bilder, CSS, iframes) über HTTP laedt. Da die Seite selbst sicher über HTTPS bereitgestellt wird, aber einige Ressourcen unverschlüsseltes HTTP verwenden, könnte ein Man-in-the-Middle-Angreifer die unsicheren Ressourcen abfangen, verändern und potenziell schadhaften Code in eine scheinbar sichere Seite einschleusen.
Was ist der Unterschied zwischen blockierendem und passivem Mixed Content?
Blockierender (aktiver) Mixed Content - Skripte, Stylesheets, XHR-Anfragen, iframes - wird von modernen Browsern blockiert, da er die HTTPS-Seite direkt verändern und Zugangsdaten oder Daten stehlen kann. Passiver Mixed Content - Bilder, Audio, Video - wird mit einer Warnung angezeigt, aber nicht blockiert, da er weniger direkte Angriffsoberflaeche hat. Chrome 79+ blockiert auch passiven Mixed Content.
Wie behebe ich Mixed Content?
Die schnellste Lösung ist, Content-Security-Policy: upgrade-insecure-requests zu Ihren HTTP-Antwort-Headern hinzuzufuegen. Dies weist Browser an, HTTP-Unter-Ressourcenanfragen automatisch auf HTTPS zu aktualisieren. Die dauerhafte Lösung ist, alle hartcodierten http://-URLs in Ihren HTML-, CSS- und JavaScript-Dateien auf https:// oder protokoll-relative URLs (//) zu aktualisieren.
Was ist upgrade-insecure-requests?
Die CSP-Direktive upgrade-insecure-requests weist den Browser an, alle HTTP-Unter-Ressourcen-URLs automatisch vor dem Abrufen auf HTTPS umzuschreiben. Es ist eine serverseitige Lösung, die kein Ändern jeder URL im Code erfordert. Als Antwort-Header hinzufügen: Content-Security-Policy: upgrade-insecure-requests. Hinweis: Dies behebt keine eingebetteten iframes, die selbst Mixed Content bereitstellen.
Warum übersieht dieser Checker manchen Mixed Content?
Dieses Tool scannt die rohe HTML-Antwort - es fuehrt kein JavaScript aus oder laedt die Seite in einem Browser. Mixed Content, der nach dem Seitenladen von JavaScript eingeschleust wird (z. B. von Werbenetzwerken oder Drittanbieter-Widgets), wird nicht erkannt. Für umfassendes Scannen verwenden Sie Chrome-DevTools (Konsolen- und Netzwerk-Tabs mit Mixed-Content-Filter) neben dieser statischen Analyse.