別讓Mixed content成為網站破口,完整教學帶你學會排除威脅風險

分享在 facebook
分享在 twitter
分享在 linkedin
分享在 email
分享在 print

為網站取得SSL憑證,升級HTTPS安全傳輸協定,雖然可以幫助網站避免個資外洩問題,但仍然有被駭客攻擊的突破口,那就是Mixed Content混合內容。接下來我們會帶你瞭解混合內容的情況與檢查方法,並學會修正方式,將網站的潛在防護漏洞一一排除。

 

Mixed Content 混合內容是什麼?

當你已經將網站改為HTTPS傳輸協定,卻仍有部分網頁使用HTTP連線,就是Mixed Content的情況。如此一來使用HTTP頁面將會導致網站出現防護漏洞,容易被惡意攻擊者入侵。因此Google會封鎖出現Mixed Content的頁面,導致使用者在瀏覽網站時出現部分內容無法顯示的狀況。

用戶訪問的網站類型會決定Mixed Content暴露的風險度。若該網站只有公開資料,不涉及個人資訊,依然能藉由Mixed Content將用戶重新定向到其他用HTTP連線的頁面,並從中竊取個資。

 

混合內容有哪些類型?

Mixed Content混合內容的狀況分為2種類型,分別是主動型混合內容(Mixed Active Content)以及被動 / 顯示型混合內容(Mixed Passive / Display Content)。兩者在被駭客攻擊的程度上有所不同,主動型混合內容會出現釣魚式攻擊騙取個資、定向到惡意網站等情況;而被動型混合內容可能只會有用戶Cookie遭竊取或出現錯誤內容的情形。

被動 / 顯示型混合內容(Mixed Passive / Display Content)

被動 / 顯示型混合內容是指Mixed Content出現在HTTPS頁面中,攻擊者只能更動部分內容,像是將採用HTTP連線的圖片更換成惡意圖像,藉此監控使用者名單。

被動 / 顯示型混合內容的請求類型包含:

  • <img>(src屬性)
  • <audio>(src屬性)
  • <video>(src屬性)
  • <object> subresource

主動型混合內容(Mixed Active Content)

主動型混合內容是攻擊者可以透過網頁中的Mixed Content,完全控制該網頁,由此改變 HTTPS的頁面物件,從中竊取用戶的個人資訊。同時植入惡意程式,增加被其他駭客攻擊的機會。

主動型混內容的請求類型包含:

  • <script>(src屬性)
  • <link>(href屬性)
  • <iframe>(src屬性)
  • XMLHttpRequest 請求
  • fetch() 請求
  • URL的CSS值
  • <object>(data屬性)

另外像是web fonts、workers,也是可能被認定為主動型的混合內容之一。

 

如何檢查自家網站有沒有Mixed Content?

SSL升級後仍要擔心mixed content問題

各大主要瀏覽器現在都會主動提醒使用者,正在瀏覽的網站出現Mixed Content的情形。另外也可以在網頁中點擊右鍵,點選「檢查」查看網站原始碼,並選擇「Console」或「Network」標籤頁,便可查看網站是否有Mixed Content問題。

檢查Mixed Content工具

你可以藉由以下2種工具檢查自家網站是否出現Mixed Content:

  1. bramus/mixed-content
  2. JitBit:SSL-check 線上檢測工具

 

如何修正Mixed Content?

修復Mixed Content問題,需先確認你網站Mixed Content僅出現在單一頁面,還是多頁面都有相同錯誤。以下將針對這2種情況介紹修正方式。

單一頁面出現Mixed Content

針對單一頁面修正Mixed Content問題,可透過以下5步驟。

步驟1:

點開出現Mixed Content的頁面,進入編輯後台,並切換成HTML模式。

步驟2:

利用尋找功能,搜尋「http://」。

步驟3:

在任何的HTML標籤屬性,如<img>、<video>、<audio>、<script> 、<link>等標籤中找到「http://」,改為「https://」。

步驟4:

在無痕瀏覽器中檢查所有新網址,藉此確認每個網誌都正確顯示HTTPS,若http://和https://的連結顯示同樣結果,代表修正成功。

步驟5:

儲存或更新網頁即可完成。如果內容仍有錯誤,後台編輯器會提醒你,而且網站系統就不會執行儲存動作,直到你完成修正網頁中的Mixed Content。

多個頁面出現Mixed Content

若是多頁面都出現Mixed Content情形,可能是來自網頁中使用的工具,建議你先將全部非Google提供的工具移除,確認網頁是否仍然出現Mixed Content問題,再逐一將工具新增,一一檢查是哪個工具出現防護漏洞。

 

完善SSL憑證服務,解決Mixed Content問題|戰國策集團

戰國策集團與國際SSL大廠合作,共同提供網站用戶品質最好的SSL憑證,不僅保障資料傳輸安全,也能解決Mixed Content問題。藉由我們的SSL加密及安裝服務,為你的網站打造全面安全防禦,提高網路安全等級。我們會根據你的網站需求與類型,提供各類SSL憑證,不論是單一網域、多個子網域、電子商務網站、多個主網域,都可以搭配合適的SSL憑證,抵禦任何潛在的風險。

延伸閱讀:

網站適合安裝哪一種的SSL? SSL憑證的各式種類與費用的比較

設定 SSL 憑證,為你的網站安全把關

Click Me