خطای Mixed Content چیست، خطای Mixed Content زمانی رخ میدهد که HTML اولیه از طریق اتصال HTTPS ایمن بارگیری میشود، اما منابع دیگر (مانند تصاویر، فیلمها، استایلشیتها و اسکریپتها)
خطاي Mixed Content چيست؟
خطاي Mixed Content زماني رخ ميدهد که HTML اوليه از طريق اتصال HTTPS ايمن بارگيري ميشود، اما منابع ديگر (مانند تصاوير، فيلمها، استايلشيتها و اسکريپتها) از طريق اتصال HTTP ناامن بارگيري ميشوند. علت نامگذاري اين است که هر دو محتواي HTTP و HTTPS براي نمايش در يک صفحه در حال بارگيري هستند و درخواست اوليه از طريق HTTPS ايمن شده است. درخواست «منابع زيرمجموعه» با استفاده از پروتکل HTTP ناامن، امنيت کل صفحه را تضعيف ميکند؛ زيرا اين درخواستها در برابر حملات طي مسير آسيبپذيرند، جايي که يک مهاجم، اتصال شبکه را استراق سمع ميکند و ارتباط بين دو طرف را مشاهده يا ويرايش ميکند.
با استفاده از اين منابع، مهاجمان ميتوانند کاربران را رديابي کرده و محتواي موجود در يک وبسايت را جايگزين کنند و در مورد Mixed Content فعال، کنترل کامل صفحه، و نه فقط منابع ناامن را در دست بگيرند. اگرچه بسياري از مرورگرها اخطارهاي Mixed Content را به کاربر گزارش ميدهند، اما تا زماني که اين اتفاق بيفتد، خيلي دير است: با درخواستهاي ناامن انجام شدهي پيشين، امنيت صفحه به خطر افتاده است. به همين دليل، مرورگرها به طور فزايندهاي محتواي Mixed Content را مسدود ميکنند. با سختگيري روز افزون مرورگرها، اگر در سايت خود محتواي مخلوط داريد، با رفع آن از بارگيري صفحات خود اطمينان حاصل کنيد.
براي مشاوره همين حالا با کارشناسان ما تماس بگيريد: شرکت طراحی سایت بهپردازان یک شرکت معتبر در زمینه طراحی سایت فروشگاهی، طراحی سایت شرکتی حرفه ای میباشد که آماده مشاوره رایگان در جهت توسعه کسب و کار اینترنتی میباشد.
دو نوع محتواي مخلوط (Mixed Content)
دو نوع مختلف محتواي مخلوط، «فعال» و «غير فعال» است. محتواي مخلوط غيرفعال، به محتوايي گفته ميشود که با ساير قسمتهاي صفحه ارتباط برقرار نکند و بنابراين، يک حملهي Man-in-The-Middle، به قطع ارتباط و تغيير محتوا محدود به ميشود. محتواي مختلط غير فعال به عنوان تصاوير، ويدئو و محتواي صوتي تعريف ميشود. محتواي مخلوط فعال، با کل صفحه ارتباط برقرار ميکند و به مهاجم اجازه ميدهد تقريباً هرکاري با صفحه انجام دهد. محتواي مخلوط فعال، شامل اسکريپتها، استايلشيتها، iframeها و کدهاي ديگري است که مرورگر ميتواند بارگيري و اجرا کند.
محتواي مخلوط غيرفعال
محتواي مخلوط غيرفعال، کمتر مشکلساز است اما هنوز تهديدي امنيتي براي سايت شما و کاربران است. به عنوان مثال ، يک مهاجم ميتواند درخواست هاي HTTP را براي تصاوير در سايت شما رهگيري کند و اين تصاوير را تعويض يا جايگزين کند. مهاجم ميتواند آيکون کليدهاي ذخيره و حذف را با يکديگر عوض کند و باعث شود کاربران بدون نيت قبلي، محتوايي را حذف کنند؛ تصاوير محصولات را با محتواي نامناسب جايگزين کند و وبسايت را مخدوش کند؛ يا تصاوير محصولات را با تبليغات وبسايت يا محصول ديگري جايگزين کند. حتي اگر مهاجم محتواي سايت را تغيير ندهد، ميتواند کاربران را از طريق درخواست محتواي مخلوط رديابي کند. مهاجم ميتواند براساس تصاوير يا منابع ديگري که مرورگر بارگيري ميکندد، تشخيص دهد که کاربر از کدام صفحات بازديد ميکند و کدام محصولات را مشاهده ميکند.
اگر محتواي مخلوط غيرفعال وجود داشته باشد، حتي وقتي صفحه از طريق HTTPS بارگيري شده باشد بيشتر مرورگرها در نوار URL نشان ميدهند که صفحه ايمن نيست. تا چندي پيش، محتواي مخلوط غيرفعال در همه مرورگرها بارگيري ميشد، زيرا در صورت جلوگيري از اين امر، وبسايتهاي زيادي خراب ميشدند. در حال حاضر شرايط تغيير کرده و بنابراين، بهروزرساني هر نمونه محتواي مخلوط در سايت شما بسيار حياتي است. در حال حاضر، مرورگر کروم در در تلاش است که در صورت امکان، راهکاري براي ارتقاي خودکار محتواي مخلوط غيرفعال ارائه دهد. ارتقاي خودکار به اين معني است که اگر محتوايي از طريق HTTPS در دسترس باشد، اما به عنوان HTTP رمزگذاري شده باشد، مرورگر نسخه HTTPS را بارگيري ميکند. اگر هيچ نسخهي ايمني پيدا نشود، محتوا بارگيري نميشود. هرگاه کروم محتواي مخلوط را تشخيص دهد يا محتواي مخلوط غيرفعال را به صورت خودکار ارتقا دهد، پيامهاي دقيق را در برگهي Issues در DevTools ثبت ميکند تا شما را در زمينهي رفع مشکل خاص راهنمايي کند.
محتواي مخلوط فعال
محتواي مخلوط فعال، تهديد بيشتري نسبت به محتواي غيرفعال است. يک مهاجم ميتواند محتواي فعال را رهگيري و بازنويسي کند. در نتيجه کنترل کامل صفحه يا حتي کل وب سايت شما را در دست ميگيرد. اين به مهاجم اجازه ميدهد تا هر چيزي را در مورد صفحه تغيير دهد. از جمله نمايش محتواي کاملاً متفاوت، سرقت رمزهاي عبور کاربر يا ساير اطلاعات ورود به سيستم، سرقت کوکيهاي کاربر يا هدايت کاربر کامل کاربر به يک وبسايت ديگر. به دليل شدت اين تهديد، اکثر مرورگرها از قبل براي محافظت از کاربران، به طور پيشفرض اين نوع محتوا را مسدود ميکنند، اما عملکرد بين فروشندگان و نسخههاي مختلف مرورگر متفاوت است. اين نسخهي دموي ديگر، شامل نمونه هايي از محتواي مخلوط فعال است. مثال را از طريق HTTP بارگيري کنيد تا محتوايي را که هنگام بارگذاري مثال روي HTTPS مسدود شده مشاهده کنيد. محتواي مسدود شده نيز در برگهي مشکلات به تفصيل شرح داده خواهد شد.
021 - 88 74 91 24
021 - 88 74 97 25
021 - 88 74 97 26
