Mixed Content Check
HTTP-Ressourcen auf HTTPS-Seiten erkennen: Scripts, Stylesheets, Bilder und Media.
Methodik & Funktionsweise
Was wird geprueft?
Findet unsichere HTTP-Ressourcen auf HTTPS-Seiten, die Browser-Warnungen auslösen.
Wie funktioniert es?
Der HTML-Quellcode der Seite wird geladen und alle src- und href-Attribute analysiert. Ressourcen, die über http:// statt https:// geladen werden, werden als Mixed Content gemeldet.
Beispiel-Ergebnis
https://example.com → 2 Probleme: http://cdn.example.com/style.css (Stylesheet), http://example.com/logo.png (Bild)
Was ist Mixed Content?
Mixed Content entsteht, wenn eine HTTPS-Seite Ressourcen (Bilder, Scripts, Stylesheets) über unsicheres HTTP lädt. Browser blockieren oder warnen vor solchen Ressourcen, da sie die Sicherheit der verschlüsselten Verbindung untergraben. Aktiver Mixed Content (Scripts, iFrames) wird von modernen Browsern komplett blockiert, passiver Mixed Content (Bilder) wird mit einer Warnung geladen. Mixed Content ist ein häufiges Problem nach der Migration von HTTP auf HTTPS und kann zu fehlenden Bildern, kaputten Layouts und Browser-Sicherheitswarnungen führen.
Mixed Content beheben
- 1Ersetzen Sie alle http://-URLs durch https:// oder protokollrelative URLs (//).
- 2Prüfen Sie auch CSS-Dateien und Inline-Styles auf HTTP-Referenzen.
- 3Nutzen Sie den CSP-Header "upgrade-insecure-requests", um HTTP-Anfragen automatisch auf HTTPS umzuleiten.
- 4Nach der Behebung erneut scannen, um sicherzustellen, dass alle Probleme gelöst sind.