جهت تماس با کارشناسان فروش کلیک نمایید
موضوع مقاله :

خطای Mixed Content چیست؟

شرح :

خطاي Mixed Content چيست؟

خطاي Mixed Content زماني رخ مي‌دهد که HTML‌ اوليه از طريق اتصال HTTPS ايمن بارگيري مي‌شود، اما منابع ديگر (مانند تصاوير، فيلم‌ها، استايل‌شيت‌ها و اسکريپت‌ها) از طريق اتصال HTTP ناامن بارگيري مي‌شوند. علت نام‌گذاري اين است که هر دو محتواي HTTP و HTTPS براي نمايش در يک صفحه در حال بارگيري هستند و درخواست اوليه از طريق HTTPS ايمن شده است. درخواست «منابع زيرمجموعه» با استفاده از پروتکل HTTP ناامن، امنيت کل صفحه را تضعيف مي‌کند؛ زيرا اين درخواست‌ها در برابر حملات طي مسير آسيب‌پذيرند، جايي که يک مهاجم، اتصال شبکه را استراق سمع مي‌کند و ارتباط بين دو طرف را مشاهده يا ويرايش مي‌کند.  

با استفاده از اين منابع، مهاجمان مي‌توانند کاربران را رديابي کرده و محتواي موجود در يک وب‌سايت را جايگزين کنند و در مورد Mixed Content فعال، کنترل کامل صفحه، و نه فقط منابع ناامن را در دست بگيرند. اگرچه بسياري از مرورگرها اخطارهاي Mixed Content را به کاربر گزارش مي‌دهند، اما تا زماني که اين اتفاق بيفتد، خيلي دير است: با درخواست‌هاي ناامن انجام شده‌ي پيشين، امنيت صفحه به خطر افتاده است. به همين دليل، مرورگرها به طور فزاينده‌اي محتواي Mixed Content را مسدود مي‌کنند. با سخت‌گيري روز افزون مرورگرها، اگر در سايت خود محتواي مخلوط داريد، با رفع آن از بارگيري صفحات خود اطمينان حاصل کنيد.

دو نوع محتواي مخلوط (Mixed Content)

دو نوع مختلف محتواي مخلوط، «فعال» و «غير فعال» است. محتواي مخلوط غيرفعال، به محتوايي گفته مي‌شود که با ساير قسمت‌هاي صفحه ارتباط برقرار نکند و بنابراين، يک حمله‌ي Man-in-The-Middle، به قطع ارتباط و تغيير محتوا محدود به مي‌شود. محتواي مختلط غير فعال به عنوان تصاوير، ويدئو و محتواي صوتي تعريف مي‌شود. محتواي مخلوط فعال، با کل صفحه ارتباط برقرار مي‌کند و به مهاجم اجازه مي‌دهد تقريباً هرکاري با صفحه انجام دهد. محتواي مخلوط فعال، شامل اسکريپت‌ها، استايل‌شيت‌ها، iframeها و کدهاي ديگري است که مرورگر مي‌تواند بارگيري و اجرا کند.

محتواي مخلوط غيرفعال

محتواي مخلوط غيرفعال، کم‌تر مشکل‌ساز است اما هنوز تهديدي امنيتي براي سايت شما و کاربران است. به عنوان مثال ، يک مهاجم مي‌تواند درخواست هاي HTTP را براي تصاوير در سايت شما رهگيري کند و اين تصاوير را تعويض يا جايگزين کند. مهاجم مي‌تواند آيکون کليدهاي ذخيره و حذف را با يک‌ديگر عوض کند و باعث شود کاربران بدون نيت قبلي، محتوايي را حذف کنند؛ تصاوير محصولات را با محتواي نامناسب جايگزين کند و وب‌سايت را مخدوش کند؛ يا تصاوير محصولات را با تبليغات ‌وب‌سايت يا محصول ديگري جايگزين کند. حتي اگر مهاجم محتواي سايت را تغيير ندهد، مي‌تواند کاربران را از طريق درخواست محتواي مخلوط رديابي کند. مهاجم مي‌تواند براساس تصاوير يا منابع ديگري که مرورگر بارگيري مي‌کندد، تشخيص دهد که کاربر از کدام صفحات بازديد مي‌کند و کدام محصولات را مشاهده مي‌کند.

اگر محتواي مخلوط غيرفعال وجود داشته باشد، حتي وقتي صفحه از طريق HTTPS بارگيري شده باشد بيش‌تر مرورگرها در نوار URL نشان مي‌دهند که صفحه ايمن نيست. تا چندي پيش، محتواي مخلوط غيرفعال در همه مرورگرها بارگيري مي‌شد، زيرا در صورت جلوگيري از اين امر، وب‌سايت‌هاي زيادي خراب مي‌شدند. در حال حاضر شرايط تغيير کرده و بنابراين، به‌روزرساني هر نمونه محتواي مخلوط در سايت شما بسيار حياتي است. در حال حاضر، مرورگر کروم در در تلاش است که در صورت امکان، راه‌کاري براي ارتقاي خودکار محتواي مخلوط غيرفعال ارائه دهد. ارتقاي خودکار به اين معني است که اگر محتوايي از طريق HTTPS در دسترس باشد، اما به عنوان HTTP رمزگذاري شده باشد، مرورگر نسخه HTTPS را بارگيري مي‌کند. اگر هيچ نسخه‌ي ايمني پيدا نشود، محتوا بارگيري نمي‌شود. هرگاه کروم محتواي مخلوط را تشخيص دهد يا محتواي مخلوط غيرفعال را به صورت خودکار ارتقا دهد، پيام‌هاي دقيق را در برگه‌ي Issues در DevTools ثبت مي‌کند تا شما را در زمينه‌ي رفع مشکل خاص راهنمايي کند.

محتواي مخلوط فعال

محتواي مخلوط فعال، تهديد بيش‌تري نسبت به محتواي غيرفعال است. يک مهاجم مي‌تواند محتواي فعال را رهگيري و بازنويسي کند. در نتيجه کنترل کامل صفحه يا حتي کل وب سايت شما را در دست مي‌گيرد. اين به مهاجم اجازه مي‌دهد تا هر چيزي را در مورد صفحه تغيير دهد. از جمله نمايش محتواي کاملاً متفاوت، سرقت رمزهاي عبور کاربر يا ساير اطلاعات ورود به سيستم، سرقت کوکي‌هاي کاربر يا هدايت کاربر کامل کاربر به يک وب‌سايت ديگر. به دليل شدت اين تهديد، اکثر مرورگرها از قبل براي محافظت از کاربران، به طور پيش‌فرض اين نوع محتوا را مسدود مي‌کنند، اما عمل‌کرد بين فروشندگان و نسخه‌هاي مختلف مرورگر متفاوت است. اين نسخه‌ي دموي ديگر، شامل نمونه هايي از محتواي مخلوط فعال است. مثال را از طريق HTTP بارگيري کنيد تا محتوايي را که هنگام بارگذاري مثال روي HTTPS مسدود شده مشاهده کنيد. محتواي مسدود شده نيز در برگه‌ي مشکلات به تفصيل شرح داده خواهد شد.

شرکت‌ طراحي سايت بهپردازان، با سال‌ها تجربه طراحي سايت  درزمينه‌ي طراحي سايت فروشگاهي، طراحي سايت خبري، طراحي سايت شرکت توليدي و خدماتي، طراحي سايت علمي آموزشي، طراحي سايت شرکت ساختماني ، طراحي سايت شرکت بازرگاني ، طراحي سايت مشتريان خارج از کشور، طراحي سايت ارگانهاي دولتي و ... مفتخر است که با تيم کارشناسان خود، از طراحي وب‌سايت، اپليکيشن، سئو و ... مشاور شما باشد. با در ارتباط باشيد:


021 - 88 74 91 24
021 - 88 74 97 25
021 - 88 74 97 26

منبع: web.dev