混在コンテンツ
混在コンテンツ とは何ですか?
混在コンテンツHTTPS で配信されたページがスクリプト・スタイル・画像・XHR などのサブリソースを平文 HTTP で読み込み、ページ全体のセキュリティを低下させる状態。
混在コンテンツとは、HTTPS で配信されたページが安全でない http:// URL からスクリプト、スタイルシート、画像、フォント、fetch リクエストを取り込む状態を指します。特にスクリプト・iframe・XHR などのアクティブな混在コンテンツは危険で、経路上の攻撃者が応答を書き換えて安全なコンテキストにコードを注入し、機密性と完全性を破壊できます。現代のブラウザはアクティブな混在コンテンツを既定でブロックし、画像などの受動的なものは自動アップグレードまたはブロックします。対策は、すべてのアセットを HTTPS で配信し、絶対 https:// URL を用い、CSP の upgrade-insecure-requests と HSTS を併用してサイト全体で HTTPS を強制することです。
● 例
- 01
HTTPS の決済ページが http:// 経由でサードパーティ分析スクリプトを読み込み、カード情報を抜き取られる可能性がある。
- 02
ブラウザコンソール警告:"Mixed Content: ページは HTTPS で読み込まれましたが、安全でないスクリプトが要求されました"。
● よくある質問
混在コンテンツ とは何ですか?
HTTPS で配信されたページがスクリプト・スタイル・画像・XHR などのサブリソースを平文 HTTP で読み込み、ページ全体のセキュリティを低下させる状態。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
混在コンテンツ とはどういう意味ですか?
HTTPS で配信されたページがスクリプト・スタイル・画像・XHR などのサブリソースを平文 HTTP で読み込み、ページ全体のセキュリティを低下させる状態。
混在コンテンツ からどのように防御しますか?
混在コンテンツ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。