為網站取得SSL憑證,升級HTTPS安全傳輸協定,雖然可以幫助網站避免個資外洩問題,但仍然有被駭客攻擊的突破口,那就是Mixed Content混合內容。接下來我們會帶你瞭解混合內容的情況與檢查方法,並學會修正方式,將網站的潛在防護漏洞一一排除。
Mixed Content 混合內容是什麼?
當你已經將網站改為HTTPS傳輸協定,卻仍有部分網頁使用HTTP連線,就是Mixed Content的情況。如此一來使用HTTP頁面將會導致網站出現防護漏洞,容易被惡意攻擊者入侵。因此Google會封鎖出現Mixed Content的頁面,導致使用者在瀏覽網站時出現部分內容無法顯示的狀況。
用戶訪問的網站類型會決定Mixed Content暴露的風險度。若該網站只有公開資料,不涉及個人資訊,依然能藉由Mixed Content將用戶重新定向到其他用HTTP連線的頁面,並從中竊取個資。
混合內容有哪些類型?
Mixed Content混合內容的狀況分為2種類型,分別是主動型混合內容(Mixed Active Content)以及被動 / 顯示型混合內容(Mixed Passive / Display Content)。兩者在被駭客攻擊的程度上有所不同,主動型混合內容會出現釣魚式攻擊騙取個資、定向到惡意網站等情況;而被動型混合內容可能只會有用戶Cookie遭竊取或出現錯誤內容的情形。
被動 / 顯示型混合內容(Mixed Passive / Display Content)
被動 / 顯示型混合內容是指Mixed Content出現在HTTPS頁面中,攻擊者只能更動部分內容,像是將採用HTTP連線的圖片更換成惡意圖像,藉此監控使用者名單。
被動 / 顯示型混合內容的請求類型包含:
- <img>(src屬性)
- <audio>(src屬性)
- <video>(src屬性)
- <object> subresource
主動型混合內容(Mixed Active Content)
主動型混合內容是攻擊者可以透過網頁中的Mixed Content,完全控制該網頁,由此改變 HTTPS的頁面物件,從中竊取用戶的個人資訊。同時植入惡意程式,增加被其他駭客攻擊的機會。
主動型混內容的請求類型包含:
- <script>(src屬性)
- <link>(href屬性)
- <iframe>(src屬性)
- XMLHttpRequest 請求
- fetch() 請求
- URL的CSS值
- <object>(data屬性)
另外像是web fonts、workers,也是可能被認定為主動型的混合內容之一。
如何檢查自家網站有沒有Mixed Content?
檢查Mixed Content工具
你可以藉由以下2種工具檢查自家網站是否出現Mixed Content:
如何修正Mixed Content?
修復Mixed Content問題,需先確認你網站Mixed Content僅出現在單一頁面,還是多頁面都有相同錯誤。以下將針對這2種情況介紹修正方式。
單一頁面出現Mixed Content
針對單一頁面修正Mixed Content問題,可透過以下5步驟。
步驟1:
點開出現Mixed Content的頁面,進入編輯後台,並切換成HTML模式。
步驟2:
利用尋找功能,搜尋「http://」。
步驟3:
在任何的HTML標籤屬性,如<img>、<video>、<audio>、<script> 、<link>等標籤中找到「http://」,改為「https://」。
步驟4:
在無痕瀏覽器中檢查所有新網址,藉此確認每個網誌都正確顯示HTTPS,若http://和https://的連結顯示同樣結果,代表修正成功。
步驟5:
儲存或更新網頁即可完成。如果內容仍有錯誤,後台編輯器會提醒你,而且網站系統就不會執行儲存動作,直到你完成修正網頁中的Mixed Content。
多個頁面出現Mixed Content
若是多頁面都出現Mixed Content情形,可能是來自網頁中使用的工具,建議你先將全部非Google提供的工具移除,確認網頁是否仍然出現Mixed Content問題,再逐一將工具新增,一一檢查是哪個工具出現防護漏洞。
完善SSL憑證服務,解決Mixed Content問題|戰國策集團
戰國策集團與國際SSL大廠合作,共同提供網站用戶品質最好的SSL憑證,不僅保障資料傳輸安全,也能解決Mixed Content問題。藉由我們的SSL加密及安裝服務,為你的網站打造全面安全防禦,提高網路安全等級。我們會根據你的網站需求與類型,提供各類SSL憑證,不論是單一網域、多個子網域、電子商務網站、多個主網域,都可以搭配合適的SSL憑證,抵禦任何潛在的風險。
- 免付費諮詢專線:0800-003-191
- 官方 LINE:@119m