ZenovayTools

Verificador de Contenido Mixto

Escanea páginas HTTPS en busca de sub-recursos HTTP (bloqueante: scripts/hojas de estilos/iframes; pasivo: imágenes/multimedia). Detecta upgrade-insecure-requests de CSP. Calificación A-F.

Cómo usar Verificador de Contenido Mixto

  1. 1Ingresa tu URL HTTPS para escanear en busca de contenido mixto.
  2. 2La herramienta obtiene el HTML de la página y busca URLs HTTP:// en todos los atributos de recursos.
  3. 3Los resultados se dividen en bloqueante (scripts, CSS, iframes) y pasivo (imágenes, multimedia).
  4. 4Revisa la recomendación de CSP para actualizar automáticamente las solicitudes inseguras.
ZenovayAnalytics

Ve quién está en tu sitio ahora mismo.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.
Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.
Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.
Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Qué es el contenido mixto?
El contenido mixto ocurre cuando una página web HTTPS carga subrecursos (scripts, imágenes, CSS, iframes) mediante HTTP. Dado que la página en sí se sirve de forma segura por HTTPS pero algunos recursos usan HTTP sin cifrar, un atacante de tipo «man-in-the-middle» podría interceptar y modificar los recursos inseguros, inyectando potencialmente código malicioso en lo que parece ser una página segura.
¿Cuál es la diferencia entre contenido mixto bloqueante y pasivo?
El contenido mixto bloqueante (activo) — scripts, hojas de estilo, solicitudes XHR, iframes — es bloqueado por los navegadores modernos porque puede modificar directamente la página HTTPS y robar credenciales o datos. El contenido mixto pasivo — imágenes, audio, vídeo — se muestra con una advertencia (el candado se vuelve roto/amarillo) pero no se bloquea, ya que tiene menos superficie de ataque directa. Chrome 79+ también bloquea el contenido mixto pasivo.
¿Cómo soluciono el contenido mixto?
La solución más rápida es añadir 'Content-Security-Policy: upgrade-insecure-requests' a sus cabeceras de respuesta HTTP. Esto indica a los navegadores que actualicen automáticamente las solicitudes de subrecursos HTTP a HTTPS. La solución permanente es actualizar todas las URLs http:// codificadas en sus archivos HTML, CSS y JavaScript a https:// o URLs relativas al protocolo (//).
¿Qué es upgrade-insecure-requests?
La directiva CSP 'upgrade-insecure-requests' indica al navegador que reescriba automáticamente todas las URLs de subrecursos HTTP a HTTPS antes de obtenerlos. Es una solución del lado del servidor que no requiere cambiar cada URL en su código. Añádala como cabecera de respuesta: Content-Security-Policy: upgrade-insecure-requests. Nota: esto no soluciona los iframes incrustados que sirven contenido mixto por sí mismos.
¿Por qué este verificador pasa por alto algún contenido mixto?
Esta herramienta analiza la respuesta HTML en bruto; no ejecuta JavaScript ni carga la página en un navegador. El contenido mixto inyectado por JavaScript después de la carga de la página (p. ej., de redes publicitarias o widgets de terceros) no se detectará. Para un análisis exhaustivo, use las DevTools de Chrome (pestañas Console y Network con el filtro 'Mixed Content') junto con este análisis estático.