ZenovayTools

Verificador de Conteúdo Misto

Verifica páginas HTTPS em busca de sub-recursos HTTP (bloqueantes: scripts/folhas de estilo/iframes; passivos: imagens/mídia). Detecta CSP upgrade-insecure-requests. Classificação A-F.

Como Usar Verificador de Conteúdo Misto

  1. 1Digite sua URL HTTPS para verificar conteúdo misto.
  2. 2A ferramenta busca o HTML da página e verifica URLs HTTP:// em todos os atributos de recursos.
  3. 3Os resultados são divididos em bloqueantes (scripts, CSS, iframes) e passivos (imagens, mídia).
  4. 4Revise a recomendação CSP para atualizar automaticamente solicitações não seguras.
ZenovayAnalytics

Veja quem está no seu site agora mesmo.

  • Acompanhamento de visitantes em tempo real
  • Privacidade em primeiro lugar, sem banner de cookies
  • Configurado em dois minutos
Conheça o Zenovay

Ferramentas Relacionadas

Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.
Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.
Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.
Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.

Perguntas Frequentes

O que é conteúdo misto?
O conteúdo misto ocorre quando uma página HTTPS carrega sub-recursos (scripts, imagens, CSS, iframes) via HTTP. Como a própria página é servida com segurança via HTTPS, mas alguns recursos usam HTTP não criptografado, um atacante MITM (Man-in-the-Middle) poderia interceptar e modificar os recursos inseguros.
Qual é a diferença entre conteúdo misto bloqueado e passivo?
Conteúdo misto bloqueado (ativo) — scripts, folhas de estilo, requisições XHR, iframes — é bloqueado pelos navegadores modernos porque pode diretamente modificar a página HTTPS e roubar credenciais ou dados. Conteúdo misto passivo — imagens, áudio, vídeo — é exibido com um aviso (o cadeado fica amarelo) em alguns navegadores.
Como corrijo conteúdo misto?
A correção mais rápida é adicionar 'Content-Security-Policy: upgrade-insecure-requests' aos cabeçalhos de resposta HTTP. Isso instrui os navegadores a atualizar automaticamente as requisições de sub-recursos HTTP para HTTPS. A correção permanente é atualizar todos os URLs http:// codificados no seu HTML, CSS e JavaScript para https://.
O que é upgrade-insecure-requests?
A diretiva CSP 'upgrade-insecure-requests' instrui o navegador a reescrever automaticamente todos os URLs de sub-recursos HTTP para HTTPS antes de buscá-los. É uma correção do lado do servidor que não requer alterar cada URL no seu código. Adicione como cabeçalho de resposta: Content-Security-Policy: upgrade-insecure-requests
Por que este verificador perde algum conteúdo misto?
Esta ferramenta verifica a resposta HTML bruta — ela não executa JavaScript nem carrega a página em um navegador. Conteúdo misto injetado por JavaScript após o carregamento da página (por exemplo, de redes de anúncios ou widgets de terceiros) não será detectado. Para varredura abrangente, use o Chrome DevTools (Console e aba Network).