ZenovayTools

混合コンテンツチェッカー

HTTPSページをスキャンしてHTTPサブリソース(ブロッキング:スクリプト/スタイルシート/iframes、パッシブ:画像/メディア)を検出します。CSP upgrade-insecure-requestsを検出します。グレードはA~Fです。

混合コンテンツチェッカーの使い方

  1. 1混合コンテンツをスキャンするためにHTTPS URLを入力します。
  2. 2ツールはページHTMLを取得し、すべてのリソース属性内のHTTP:// URLをスキャンします。
  3. 3結果はブロッキング(スクリプト、CSS、iframes)とパッシブ(画像、メディア)に分割されます。
  4. 4CSP推奨事項を確認して、不安全なリクエストを自動的にアップグレードします。
Zenovayアナリティクス

今、誰がサイトにいるかを把握。

  • リアルタイムの訪問者トラッキング
  • プライバシーファースト、クッキーバナーなし
  • 2分でセットアップ
Zenovayを見る

関連ツール

パスワードジェネレーター
カスタマイズ可能な長さ、文字、複雑性で強力でランダムなパスワードを生成します。
パスワード強度チェッカー
パスワードの強さをチェックします。推定クラック時間と改善提案を取得します。
HMACジェネレータ
Web Crypto APIを使用してSHA-256、SHA-384、またはSHA-512でHMAC署名を生成します。
AES暗号化/復号化
AES-GCMおよびPBKDF2キー導出を使用してテキストを暗号化および復号化します。ブラウザー内で完全に実行されます。

よくある質問

混合コンテンツとは何ですか?
混合コンテンツは、HTTPSウェブページが、サブリソース(スクリプト、画像、CSS、iframe)をHTTPで読み込む場合に発生します。ページ自体はHTTPS経由で安全に提供されていますが、一部のリソースは暗号化されていないHTTPを使用しているため、中間者攻撃者は安全でないリソースをインターセプトおよび変更し、安全に見えるページに悪質なコードを注入する可能性があります。
ブロッキング混合コンテンツとパッシブ混合コンテンツの違いは何ですか?
ブロッキング(アクティブ)混合コンテンツ - スクリプト、スタイルシート、XHRリクエスト、iframe - は、HTTPSページを直接変更でき、認証情報またはデータを盗む可能性があるため、最新のブラウザーでブロックされます。パッシブ混合コンテンツ - 画像、オーディオ、ビデオ - は警告とともに表示されますが(南京錠が壊れた/黄色になります)、ブロックされません。攻撃面が少ないからです。Chrome 79以降はパッシブ混合コンテンツもブロックします。
混合コンテンツを修正するにはどうしたらいいですか?
最速の修正は、「Content-Security-Policy: upgrade-insecure-requests」をHTTPレスポンスヘッダーに追加することです。これはブラウザーに、HTTPサブリソースリクエストを自動的にHTTPSにアップグレードするよう指示します。恒久的な修正は、HTMLファイル、CSS、JavaScriptファイル内のすべてのハードコードされたhttp:// URLをhttps://またはプロトコル相対URL(//)に更新することです。
upgrade-insecure-requestsとは何ですか?
CSP「upgrade-insecure-requests」ディレクティブは、ブラウザーにすべてのHTTPサブリソースURLをフェッチ前に自動的にHTTPSに書き換えるよう指示します。コード内のすべてのURLを変更する必要がないサーバー側の修正です。レスポンスヘッダーとして追加してください:Content-Security-Policy: upgrade-insecure-requests。注意:これは、それ自体が混合コンテンツを提供する埋め込まれたiframeは修正しません。
このチェッカーが一部の混合コンテンツを見落とすのはなぜですか?
このツールはraw HTMLレスポンスをスキャンします。JavaScriptを実行したり、ブラウザーでページを読み込んだりしません。ページ読み込み後にJavaScriptによって注入された混合コンテンツ(広告ネットワークやサードパーティウィジェットから)は検出されません。包括的なスキャンの場合、このスタティック分析と一緒にChrome DevTools(コンソールとネットワークタブで「Mixed Content」フィルタ付き)を使用してください。