ZenovayTools

Vérificateur de Contenu Mixte

Analyse les pages HTTPS pour détecter les sous-ressources HTTP (bloquantes : scripts/feuilles de style/iframes ; passives : images/médias). Détecte CSP upgrade-insecure-requests. Note A-F.

Comment utiliser Vérificateur de Contenu Mixte

  1. 1Entrez votre URL HTTPS à analyser pour détecter le contenu mixte.
  2. 2L'outil récupère le HTML de la page et analyse les URL HTTP:// dans tous les attributs de ressources.
  3. 3Les résultats sont divisés en contenu bloquant (scripts, CSS, iframes) et passif (images, médias).
  4. 4Consultez la recommandation CSP pour mettre automatiquement à niveau les requêtes non sécurisées.
ZenovayAnalytics

Voyez qui est sur votre site en ce moment.

  • Suivi des visiteurs en temps réel
  • Vie privée d'abord, sans bandeau cookies
  • Installé en deux minutes
Découvrir Zenovay

Outils connexes

Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.
Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.
Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.
Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.

Questions fréquemment posées

Qu'est-ce que le contenu mixte ?
Le contenu mixte se produit lorsqu'une page web HTTPS charge des sous-ressources (scripts, images, CSS, iframes) via HTTP. Puisque la page elle-même est servie de manière sécurisée en HTTPS mais que certaines ressources utilisent HTTP non chiffré, un attaquant « man-in-the-middle » pourrait intercepter et modifier les ressources non sécurisées, injectant potentiellement du code malveillant dans ce qui semble être une page sécurisée.
Quelle est la différence entre le contenu mixte bloquant et passif ?
Le contenu mixte bloquant (actif) — scripts, feuilles de style, requêtes XHR, iframes — est bloqué par les navigateurs modernes car il peut directement modifier la page HTTPS. Le contenu mixte passif — images, audio, vidéo — est affiché avec un avertissement mais pas bloqué. Chrome 79+ bloque aussi le contenu mixte passif.
Comment corriger le contenu mixte ?
La correction la plus rapide est d'ajouter 'Content-Security-Policy: upgrade-insecure-requests' à vos en-têtes de réponse HTTP. Cela indique aux navigateurs de mettre automatiquement à niveau les requêtes de sous-ressources HTTP vers HTTPS. La correction permanente est de mettre à jour toutes les URL http:// codées en dur vers https:// ou des URL relatives au protocole (//).
Qu'est-ce que upgrade-insecure-requests ?
La directive CSP 'upgrade-insecure-requests' indique au navigateur de réécrire automatiquement toutes les URL de sous-ressources HTTP en HTTPS avant de les récupérer. C'est une correction côté serveur qui ne nécessite pas de changer chaque URL dans votre code.
Pourquoi ce vérificateur manque-t-il certains contenus mixtes ?
Cet outil analyse la réponse HTML brute — il n'exécute pas JavaScript ni ne charge la page dans un navigateur. Le contenu mixte injecté par JavaScript après le chargement de la page (ex. par des réseaux publicitaires) ne sera pas détecté. Pour une analyse complète, utilisez Chrome DevTools (onglets Console et Réseau avec le filtre « Mixed Content »).