Contenido mixto
¿Qué es Contenido mixto?
Contenido mixtoSituacion en la que una pagina HTTPS carga subrecursos (scripts, estilos, imagenes, XHR) por HTTP plano, debilitando las garantias de seguridad.
El contenido mixto se produce cuando una pagina servida por HTTPS incorpora scripts, hojas de estilo, imagenes, fuentes o peticiones fetch desde URL http:// inseguras. El contenido mixto activo (scripts, iframes, XHR) es peligroso porque un atacante en la red puede reescribir la respuesta e inyectar codigo en el contexto seguro, rompiendo confidencialidad e integridad. Los navegadores modernos bloquean por defecto el contenido mixto activo y pueden actualizar o bloquear el pasivo, como imagenes. Las defensas incluyen servir todos los activos por HTTPS, usar URL https:// absolutas, la directiva CSP upgrade-insecure-requests y HSTS para forzar HTTPS en todo el sitio.
● Ejemplos
- 01
Una pagina HTTPS de pago que carga un script de analitica por http:// puede ser secuestrada para robar datos de tarjeta.
- 02
Aviso en la consola del navegador: "Mixed Content: la pagina se cargo por HTTPS pero solicito un script inseguro".
● Preguntas frecuentes
¿Qué es Contenido mixto?
Situacion en la que una pagina HTTPS carga subrecursos (scripts, estilos, imagenes, XHR) por HTTP plano, debilitando las garantias de seguridad. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Contenido mixto?
Situacion en la que una pagina HTTPS carga subrecursos (scripts, estilos, imagenes, XHR) por HTTP plano, debilitando las garantias de seguridad.
¿Cómo funciona Contenido mixto?
El contenido mixto se produce cuando una pagina servida por HTTPS incorpora scripts, hojas de estilo, imagenes, fuentes o peticiones fetch desde URL http:// inseguras. El contenido mixto activo (scripts, iframes, XHR) es peligroso porque un atacante en la red puede reescribir la respuesta e inyectar codigo en el contexto seguro, rompiendo confidencialidad e integridad. Los navegadores modernos bloquean por defecto el contenido mixto activo y pueden actualizar o bloquear el pasivo, como imagenes. Las defensas incluyen servir todos los activos por HTTPS, usar URL https:// absolutas, la directiva CSP upgrade-insecure-requests y HSTS para forzar HTTPS en todo el sitio.
¿Cómo defenderse de Contenido mixto?
Las defensas contra Contenido mixto combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- appsec№ 214
Política de Seguridad de Contenidos (CSP)
Cabecera HTTP que indica al navegador qué orígenes de scripts, estilos, marcos y otros recursos están permitidos, limitando el impacto de XSS y de inyecciones de datos.
- network-security№ 497
HTTP Strict Transport Security (HSTS)
Política de seguridad web enviada en una cabecera HTTP que indica al navegador acceder a un dominio solo por HTTPS durante el periodo declarado.
- attacks№ 651
Ataque de intermediario (MitM)
Ataque en el que un adversario retransmite o altera en secreto las comunicaciones entre dos partes que creen estar hablando directamente.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.
- appsec№ 1114
Integridad de Subrecursos (SRI)
Mecanismo del navegador que verifica un hash criptográfico de un script o hoja de estilos cargada desde un tercero antes de ejecutarlo, impidiendo que archivos manipulados se ejecuten.
- appsec№ 960
Política del mismo origen (SOP)
Regla de seguridad del navegador que limita cómo un documento o script de un origen puede interactuar con recursos de otro origen distinto.