Проверка mixed content

Mixed content («смешанный контент») — это когда защищённая HTTPS-страница подгружает ресурсы (картинки, скрипты, стили, iframe) по незащищённому http. Браузер ругается, убирает «замочек», а часть ресурсов может не загрузиться. Введите URL — найдём такие ресурсы. Проверка идёт на нашем сервере.

Что такое mixed content и чем он опасен

Mixed content (смешанный контент) возникает, когда страница загружена по защищённому протоколу HTTPS, но часть её ресурсов — картинки, скрипты, стили, шрифты, iframe — подключается по незащищённому HTTP. Браузер считает такую страницу не полностью безопасной: убирает значок «замочка», показывает предупреждение, а «активный» смешанный контент (скрипты и стили) и вовсе блокирует — из-за чего вёрстка или функции могут сломаться.

Чем это вредит

Во-первых, страдает доверие: посетитель видит, что соединение «не защищено». Во-вторых, заблокированные ресурсы ломают внешний вид и работу страницы. В-третьих, это сигнал технической небрежности для поисковиков — HTTPS давно стандарт, и сайт с ошибками сертификата и смешанным контентом проигрывает. Поэтому mixed content нужно устранять.

Как исправить

Найдите все ссылки с http:// в коде страницы (этот инструмент их покажет) и замените на https:// — при условии, что ресурс доступен по HTTPS. Универсальный приём — протокол-относительные ссылки //site.ru/file.js, которые подхватывают протокол страницы. Для массового исправления на больших сайтах помогает директива Content-Security-Policy: upgrade-insecure-requests, которая автоматически переводит http-ресурсы на https.

Связанные инструменты

Проверить сам сертификат — проверка SSL, общий on-page разбор — on-page анализ страницы, заголовки безопасности (включая CSP) — заголовки безопасности. Зачем сайту HTTPS — статья SSL и HTTPS.

Частые вопросы

Что такое mixed content?
Это когда страница загружена по защищённому HTTPS, но часть ресурсов (картинки, скрипты, стили, iframe) подключается по незащищённому HTTP. Браузер считает страницу не полностью безопасной: убирает «замочек», предупреждает, а активный смешанный контент (скрипты, стили) и вовсе блокирует — вёрстка или функции могут сломаться.
Чем опасен смешанный контент?
Страдает доверие (посетитель видит «не защищено»), ломается внешний вид из-за заблокированных ресурсов, и это сигнал технической небрежности для поисковиков. HTTPS давно стандарт, поэтому mixed content нужно устранять.
Как исправить mixed content?
Найдите все ссылки с http:// в коде (этот инструмент их покажет) и замените на https:// — если ресурс доступен по HTTPS. Универсальный приём — протокол-относительные ссылки //site.ru/file.js. Для массового исправления помогает заголовок Content-Security-Policy: upgrade-insecure-requests, который автоматически переводит http-ресурсы на https.