Contenu mixte
Qu'est-ce que Contenu mixte ?
Contenu mixteSituation ou une page HTTPS charge des sous-ressources (scripts, styles, images, XHR) en HTTP simple, affaiblissant les garanties globales de securite.
Le contenu mixte se produit lorsqu'une page servie en HTTPS importe des scripts, feuilles de style, images, polices ou requetes fetch depuis des URL http:// non securisees. Le contenu mixte actif (scripts, iframes, XHR) est particulierement dangereux: un attaquant sur le chemin peut reecrire la reponse et injecter du code dans le contexte securise, rompant confidentialite et integrite. Les navigateurs modernes bloquent par defaut le contenu mixte actif et peuvent surclasser ou bloquer le contenu passif comme les images. Les parades incluent la diffusion de toutes les ressources en HTTPS, l'usage d'URL https:// absolues, la directive CSP upgrade-insecure-requests et HSTS pour imposer HTTPS sur tout le site.
● Exemples
- 01
Une page de paiement HTTPS qui charge un script analytique tiers en http:// peut etre detournee pour voler des donnees de carte.
- 02
Avertissement console: "Mixed Content: la page a ete chargee en HTTPS mais a demande un script non securise".
● Questions fréquentes
Qu'est-ce que Contenu mixte ?
Situation ou une page HTTPS charge des sous-ressources (scripts, styles, images, XHR) en HTTP simple, affaiblissant les garanties globales de securite. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Contenu mixte ?
Situation ou une page HTTPS charge des sous-ressources (scripts, styles, images, XHR) en HTTP simple, affaiblissant les garanties globales de securite.
Comment fonctionne Contenu mixte ?
Le contenu mixte se produit lorsqu'une page servie en HTTPS importe des scripts, feuilles de style, images, polices ou requetes fetch depuis des URL http:// non securisees. Le contenu mixte actif (scripts, iframes, XHR) est particulierement dangereux: un attaquant sur le chemin peut reecrire la reponse et injecter du code dans le contexte securise, rompant confidentialite et integrite. Les navigateurs modernes bloquent par defaut le contenu mixte actif et peuvent surclasser ou bloquer le contenu passif comme les images. Les parades incluent la diffusion de toutes les ressources en HTTPS, l'usage d'URL https:// absolues, la directive CSP upgrade-insecure-requests et HSTS pour imposer HTTPS sur tout le site.
Comment se défendre contre Contenu mixte ?
Les défenses contre Contenu mixte combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- appsec№ 214
Politique de sécurité du contenu (CSP)
En-tête HTTP indiquant au navigateur quelles sources de scripts, styles, cadres et autres contenus sont autorisées, limitant l'impact des XSS et des injections de données.
- network-security№ 497
HTTP Strict Transport Security (HSTS)
Politique de sécurité web diffusée via un en-tête HTTP qui ordonne au navigateur d'accéder à un domaine uniquement en HTTPS pendant une durée déclarée.
- attacks№ 651
Attaque de l'homme du milieu (MitM)
Attaque dans laquelle un adversaire relaie ou modifie secrètement les communications entre deux parties qui pensent dialoguer directement.
- network-security№ 1159
TLS (Transport Layer Security)
Protocole cryptographique standardisé par l'IETF qui fournit confidentialité, intégrité et authentification au trafic entre deux applications en réseau.
- appsec№ 1114
Intégrité des sous-ressources (SRI)
Mécanisme du navigateur qui vérifie un hash cryptographique d'un script ou d'une feuille de styles tiers avant son exécution, empêchant tout fichier altéré de s'exécuter.
- appsec№ 960
Politique de même origine (SOP)
Regle de securite du navigateur qui restreint la maniere dont un document ou script charge depuis une origine peut interagir avec une ressource d'une autre origine.