Смешанный контент
Что такое Смешанный контент?
Смешанный контентСитуация, когда HTTPS-страница подгружает подресурсы (скрипты, стили, изображения, XHR) по обычному HTTP, ослабляя общие гарантии безопасности.
Смешанный контент возникает, когда страница, отданная по HTTPS, подтягивает скрипты, таблицы стилей, изображения, шрифты или fetch-запросы с небезопасных http://-адресов. Активный смешанный контент (скрипты, iframes, XHR) особенно опасен: злоумышленник на маршруте может переписать ответ и внедрить код в защищённый контекст, нарушая конфиденциальность и целостность. Современные браузеры по умолчанию блокируют активный смешанный контент и могут автообновлять или блокировать пассивный, например изображения. Защита: отдавать все ресурсы по HTTPS, использовать абсолютные https://-URL, директиву CSP upgrade-insecure-requests и HSTS для принудительного HTTPS на всём сайте.
● Примеры
- 01
HTTPS-страница оплаты подключает сторонний аналитический скрипт по http:// и подвергается риску похищения данных карты.
- 02
Предупреждение консоли: "Mixed Content: страница загружена по HTTPS, но запросила небезопасный скрипт".
● Частые вопросы
Что такое Смешанный контент?
Ситуация, когда HTTPS-страница подгружает подресурсы (скрипты, стили, изображения, XHR) по обычному HTTP, ослабляя общие гарантии безопасности. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Смешанный контент?
Ситуация, когда HTTPS-страница подгружает подресурсы (скрипты, стили, изображения, XHR) по обычному HTTP, ослабляя общие гарантии безопасности.
Как работает Смешанный контент?
Смешанный контент возникает, когда страница, отданная по HTTPS, подтягивает скрипты, таблицы стилей, изображения, шрифты или fetch-запросы с небезопасных http://-адресов. Активный смешанный контент (скрипты, iframes, XHR) особенно опасен: злоумышленник на маршруте может переписать ответ и внедрить код в защищённый контекст, нарушая конфиденциальность и целостность. Современные браузеры по умолчанию блокируют активный смешанный контент и могут автообновлять или блокировать пассивный, например изображения. Защита: отдавать все ресурсы по HTTPS, использовать абсолютные https://-URL, директиву CSP upgrade-insecure-requests и HSTS для принудительного HTTPS на всём сайте.
Как защититься от Смешанный контент?
Защита от Смешанный контент обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- appsec№ 214
Политика безопасности контента (CSP)
HTTP-заголовок ответа, указывающий браузеру, какие источники скриптов, стилей, фреймов и других ресурсов допустимы, что снижает последствия XSS и инъекций данных.
- network-security№ 497
HTTP Strict Transport Security (HSTS)
Политика веб-безопасности, передаваемая HTTP-заголовком и указывающая браузеру обращаться к домену в течение заданного срока только по HTTPS.
- attacks№ 651
Атака «человек посередине» (MitM)
Атака, при которой злоумышленник тайно ретранслирует или изменяет сообщения между двумя сторонами, считающими, что они общаются напрямую.
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
- appsec№ 1114
Целостность подресурсов (SRI)
Механизм браузера, проверяющий криптографический хеш загруженного со стороннего источника скрипта или таблицы стилей до его выполнения и блокирующий изменённые файлы.
- appsec№ 960
Политика одного источника (SOP)
Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.