Смешанный контент
Что такое Смешанный контент?
Смешанный контентСитуация, когда HTTPS-страница подгружает подресурсы (скрипты, стили, изображения, XHR) по обычному HTTP, ослабляя общие гарантии безопасности.
Смешанный контент возникает, когда страница, отданная по HTTPS, подтягивает скрипты, таблицы стилей, изображения, шрифты или fetch-запросы с небезопасных http://-адресов. Активный смешанный контент (скрипты, iframes, XHR) особенно опасен: злоумышленник на маршруте может переписать ответ и внедрить код в защищённый контекст, нарушая конфиденциальность и целостность. Современные браузеры по умолчанию блокируют активный смешанный контент и могут автообновлять или блокировать пассивный, например изображения. Защита: отдавать все ресурсы по HTTPS, использовать абсолютные https://-URL, директиву CSP upgrade-insecure-requests и HSTS для принудительного HTTPS на всём сайте.
● Примеры
- 01
HTTPS-страница оплаты подключает сторонний аналитический скрипт по http:// и подвергается риску похищения данных карты.
- 02
Предупреждение консоли: "Mixed Content: страница загружена по HTTPS, но запросила небезопасный скрипт".
● Частые вопросы
Что такое Смешанный контент?
Ситуация, когда HTTPS-страница подгружает подресурсы (скрипты, стили, изображения, XHR) по обычному HTTP, ослабляя общие гарантии безопасности. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Смешанный контент?
Ситуация, когда HTTPS-страница подгружает подресурсы (скрипты, стили, изображения, XHR) по обычному HTTP, ослабляя общие гарантии безопасности.
Как защититься от Смешанный контент?
Защита от Смешанный контент обычно сочетает технические меры и операционные практики, как описано в определении выше.