Mixed content: Mixed content — Web security

25.11.1985 alexxlab

Содержание

Как исправить mixed content при использовании протокола HTTPS

12105

How-to

– Читать 8 минут

Прочитать позже

АУДИТ САЙТА — СЕРТИФИКАТ HTTPS

Инструкцию одобрил
генеральный директор Интоп-Медиа

Евгений Глущенко

Смешанный контент — это незащищенные элементы, передаваемые по HTTP-протоколу, которые размещены на страницах с SSL-сертификатом. Наличие на страницах с HTTPS-протоколом ссылок с HTTP соединением делает сайт уязвимым и негативно влияет на SEO.

Содержание

Что такое смешанный контент при HTTPS
Каким бывает смешанное содержимое на страницах
Как обнаружить и устранить незащищенный контент при HTTPS
FAQ
Заключение

Что такое смешанный контент при HTTPS

При использовании протокола HTTPS необходимо следить за тем, чтобы на страницах присутствовало только защищенное содержимое. То есть все внутренние и внешние ссылки на изображения, скрипты, другие страницы сайта должны быть прописаны либо в относительном виде, либо с протоколом HTTPS. Желательно сразу все прописывать в относительном виде.

Соединение со страницей по протоколу HTTPS зашифровано с помощью TLS и защищено от перехвата данных злоумышленниками. Если на такой странице присутствует незащищенный контент, страница становится уязвимой — ее можно перехватить и внести изменения в исходный код. Из-за этого возникает уязвимость и соединение перестает быть защищенным.

Если на защищенной странице с соединением HTTPS размещается ссылка, которая начинается с http://, это трактуется поисковыми системами как ошибка смешанного контента, на английском — «mixed content error», которая негативно влияет на продвижение сайта.

Согласно спецификации W3C, браузеры добавляют на страницы со смешанным содержимым сообщение о незащищенном контенте и о том, что подключение к сайту защищено не полностью:

Замок с треугольником, предупреждающий о незащищенном контенте в браузере

Данную ошибку можно отследить с помощью консоли разработчиков Mozilla, а также посредством консоли JavaScript панели инструментов Google Chrome.

Предупреждение в Chrome о наличии смешанного контента — insecure image:

Предупреждение о смешанном контенте в браузере Chrome

Предупреждение в Mozilla:

Предупреждение о смешанном контенте в браузере Mozilla Firefox

Каким бывает смешанное содержимое на страницах

Mixed content делится на две группы — пассивное и активное смешанное содержимое.

Пассивный или отображаемый смешанный контент — те общедоступные элементы, похищение которых не позволяет получить конфиденциальную и финансовую информацию.

Перехват подобных данных по небезопасному протоколу не может принести материальной выгоды злоумышленникам. Единственное, что они могут сделать, — испортить внешний вид сайта подменой этого контента.

К пассивному смешанному контенту относятся картинки, аудио, видео и прочие элементы, в случае перехвата которых злоумышленники могут в хулиганских целях поменять файлы на какие-то нелицеприятные, нарушив стандартную работу ресурса.

Активный смешанный контент содержит скрипты и фреймы, перехват которых может нанести урон сайту и его пользователям. К такому контенту в первую очередь относятся атрибуты src тегов <script> и <iframe>. Также к данной группе принадлежат:

атрибут href тега <link>;
атрибут data тега <object>;
параметр URL в стилях CSS;
XTMLHttpRequest, включая все его запросы.

При таком типе смешанного содержимого теоретически хакеры могут перехватить данные пользователя, похитить пароль, узнать номера банковских карточек и т.д.

При этом не имеет значения, вводит ли пользователь какие-то важные данные именно при подключении на эту страницу, так как злоумышленники могут перенаправить его с помощью скрипта на небезопасный сайт. Нужная информация будет украдена уже с этого ресурса.

Пользователям в целом не рекомендуется вводить данные своих карточек на сайтах, в надежности которых есть хотя бы небольшие сомнения.

Как обнаружить и устранить незащищенный контент при HTTPS

Если на проекте множество страниц, просмотреть код на всех них с помощью инструментов разработчиков браузеров — слишком трудоемкий процесс. Чтобы автоматизировать и упростить данную задачу, можно воспользоваться модулем «Аудит сайта» от Serpstat. Перейдем для этого в раздел «Сертификат HTTPS» суммарного отчета:

Аудит сайта в Serpstat

В данном отчете будут видны ошибки, связанные со смешанным контентом. Рассмотрим более подробно указанный выше пример:

Ошибочные ссылки со страниц c протоколом HTTPS на страницы HTTP.

Данную ошибку можно исправить, если заменить на указанных страницах во внутренних ссылках незащищенный протокол HTTP на HTTPS.

Страницы с HTTPS ссылаются на страницы с HTTP

Использование поддержки HSTS.Эта ошибка связана с особенностями веб-сервера, для ее устранения необходимо обратиться в службу хостинг-провайдера, узнав, есть ли возможность использования HSTS. Это механизм, активирующий автоматическое перенаправление на безопасный протокол даже при пользовательском вводе ссылки с http://.

Использование поддержки HSTS

Присутствие незащищенных элементов.

При появлении данной ошибки необходимо проверить указанные страницы на наличие исходящих ссылок, начинающихся с http://, и также исправить их на https://. Если ресурсы, на которые ведут ссылки, работают не на защищенном соединении, можно скачать с них необходимые данные.

Например, при использовании изображений или скриптов с других ресурсов их проще всего скачать, затем данные загружаются на собственный сервер. После этого нужно изменить проблемные ссылки на относительные или же использовать протокол HTTPS.

Наличие незащищенных элементов

Помимо перечисленного выше, с помощью отчета Serpstat можно узнать, не попали ли незащищенные ссылки в файл sitemap и не остались ли на проекте страницы с протоколом HTTP.

Кроме того, сайт можно дополнительно просканировать любой программой или сканером сайта типа SEO Frog. Он также выдаст полный список ссылок, которые есть на сайте как с http, так и с https.

О другом способе найти смешанный контент — с помощью краулера Netpeak Spider — рассказали наши друзья из Netpeak Software в этом посте!

Чтобы обнаружить смешанное содержимое на сайтах WordPress, можно также использовать данный плагин.

Поиск смешанного контента в консоли разработчика
Еще один способ обнаружить смешанный контент, подходящий для небольших сайтов, — воспользоваться консолью JavaScript. Зайдите в Chrome и выберите в верхнем правом углу Дополнительные инструменты → Инструменты разработчика → Консоль и просмотрите в ней сообщения об ошибках Mixed content. При их наличии исправьте URL в ссылках с http на https и проверьте HTMI-код вновь. Повторите данную процедуру для всех веб-страниц сайта.

Сообщение о смешанном контенте в консоли разработчика

Чем опасен смешанный контент?

Смешанный контент появляется на странице, когда она загружается через безопасный протокол HTTPS, а некоторые данные на ней, например, скрипты или изображения — через незащищенный протокол http. Это делает страницу уязвимой и позволяет злоумышленникам получить конфединциальные данные пользователей, например, пароли или сведения о банковских карточках.

Как mixed content влияет на SEO?

Смешанный контент негативно влияет на SEO, так как он ухудшает пользовательский опыт и делает страницы сайта небезопасными. Чтобы избежать проблем с продвижением ресурса, необходимо выявлять уязвимости, связанные с mixed content, и сразу же менять небезопасный протокол http на https.

Заключение

Смешанный контент негативно влияет на отображение сайта и его продвижение, поэтому необходимо принимать меры по его своевременному обнаружению и устранению. Это необходимо для обеспечения безопасности пользователей ресурса, эффективного SEO-продвижения и устранения предупреждений браузеров.

Все браузеры обязаны информировать пользователя о наличии незащищенных элементов на странице, поэтому многие потенциальные посетители могут выбрать более безопасный сайт-конкурент, на котором не будет смешанного содержимого.

Обнаружить проблемы со смешанным контентом можно с помощью инструментов разработчиков браузеров, однако это требует продолжительного времени. Более оперативный способ — получить детальные сведения о всех проблемах, связанных с некорректным использованием протокола HTTP на сайте, с помощью Serpstat.

Сканировать сайт на предмет небезопасных ссылок нужно сразу после того, как сайт создан или переведен на https.

При исправлении ошибок в зависимости от ситуации необходимо либо менять ссылки на безопасные с https://, либо загружать нужные файлы на свой сервер с других ресурсов и затем использовать относительные ссылки.

Аудит всего сайта или отдельной страницы в один клик. Полный список ошибок, отсортированный по критичности, пути их устранения и рекомендации. Любая периодичность проверки и автоматическая рассылка отчетов на почту.

Запустить аудит сайта

Сэкономьте время на изучении Serpstat

Хотите получить персональную демонстрацию сервиса, тестовый период или эффективные кейсы использования Serpstat?

Оставьте заявку и мы свяжемся с вами 😉

Оцените статью по 5-бальной шкале

4. 43 из 5 на основе 7 оценок

Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.

Browser Security and Mixed Content

В обозревателях Google Chrome и Mozilla Firefox реализованы процессы блокировки смешанного содержимого для защиты компьютеров от атак на систему безопасности со стороны незащищенного содержимого, ссылки на которое содержат защищенные страницы.

Что такое смешанное содержимое и почему это имеет значение?

Веб-сайты, которые запрашивают конфиденциальную информацию, такую как имена пользователей и пароли, часто используют безопасные соединения (https) для обмена содержимым с используемым компьютером. Если посещение сайта осуществляется через безопасное соединение, и Google Chrome, и Firefox проверяют безопасность передачи содержимого на веб-страницу. Если на странице, поступившей через незащищенные каналы (http), какой-либо обозреватель находит определенные типы содержимого, он автоматически предотвратит загрузку содержимого и в адресной строке отобразится значок щита.

Блокируя содержимое и возможные бреши в системе безопасности, браузеры Chrome и Firefox предотвращают попадание информации к злоумышленникам.

Типы смешанного содержимого

Существует два типа содержимого, которые влияют на работу пользователя при просмотре веб-страницы. В контексте смешанного содержимого каждый из них имеет различные уровни риска.

Смешанное пассивное содержимое или содержимое отображения
Смешанное активное содержимое или содержимое сценария

Смешанное пассивное содержимое или содержимое отображения

Смешанное пассивное содержимое — это HTTP-содержимое на веб-сайте HTTPS, которое не может изменить модель DOM веб-страницы. Проще говоря, пассивное содержимое HTTP оказывает ограниченное воздействие на HTTPS-сайт. Например, злоумышленник мог бы заменить изображение, предоставляемое через HTTP, недопустимым изображением или сообщением, вводящим пользователя в заблуждение. Однако у злоумышленника нет возможности воздействовать на остальную часть веб-страницы, за исключением той части, на которую загружено изображение.

Злоумышленник может делать выводы о посещениях пользователем веб-страниц, наблюдая, какие изображения предоставляются пользователю, и извлекая таким образом просмотренные страницы. Кроме того, наблюдая за заголовками HTTP, переданными для извлечения и отправки изображения, злоумышленник может просматривать строку агента пользователя и все файлы cookie, связанные с доменом, с которого запрашивается изображение. Если содержимое предоставлено с домена, совпадающего с доменом основной веб-страницы, то сведения о сеансе потенциально могут быть раскрыты в результате обхода защиты, которую HTTPS предоставляет учетной записи пользователя.

К примерам пассивного содержимого относятся изображения и загрузки аудио- и видеозаписей.

Смешанное активное содержимое или содержимое сценария

Активное содержимое — это содержимое, которое имеет доступ ко всей модели DOM страницы HTTPS или ее частям и может влиять на них. Этот тип смешанного содержимого может изменять поведение страницы HTTPS и потенциально способствовать похищению конфиденциальных данных пользователя. Помимо рисков, уже описанных выше для смешанного пассивного содержимого, смешанное активное содержимое также подвергается воздействию ряда потенциальных направлений атак.

Пример. Злоумышленник может перехватить запросы на активное содержимое HTTP. После чего он может перезаписать ответ, включив в него вредоносный код JavaScript. Вредоносный сценарий может похитить учетные данные пользователя, получить его конфиденциальные данные или совершить попытку установить вредоносную программу в системе пользователя (например, путем использования уязвимых подключаемых модулей, установленных пользователем).

К примерам активного содержимого относятся JavaScript, каскадные таблицы стилей (CSS), объекты, запросы XHR, элементы IFrame и шрифты.

Устранение необходимости в элементах управления браузера

Все содержимое должно предоставляться через HTTPS — так пользователям удобнее работать и не нужно настраивать браузер самостоятельно.

Управление смешанным содержимым с помощью браузера

Если вы посмотрите примеры смешанного содержимого на веб-сайте Mozilla, то увидите, как оно влияет на просмотр веб-страниц, и поймете, как настройки браузера меняют их отображение.

Обратите внимание, что концепции блокирования смешанного содержимого схожи для всех браузеров и что основные различия между браузерами с поддержкой блокирования смешанного содержимого заключаются в управлении доступом к информации и уровнем сведений.

Безопасные веб-страницы, предоставляемые через HTTPS, могут включать небезопасные элементы, которые могут привести к атакам на вашу информацию. Страница, которая содержит как безопасные, так и небезопасные элементы, называется смешанным содержимым.

Чтобы защитить вас от рисков, связанных со смешанным содержимым, Mozilla Firefox блокирует отображение небезопасного содержимого или защищает страницы другим образом. Если вы не боитесь перейти на страницу с небезопасными элементами, можно просмотреть это содержимое, выполнив несколько шагов. В этой статье описаны способы управления доступом к смешанному содержимому в Mozilla Firefox 23 и более поздних версий.

Управление настройками блокировки содержимого

Если в Firefox открыть страницу со смешанным содержимым, в адресной строке отобразится значок щита. Это значит, что некоторое содержимое заблокировано. Выберите значок, чтобы временно отключить эту функцию безопасности и просмотреть небезопасное содержимое.

Выберите Пока отключить защиту, чтобы просмотреть это содержимое. Страница перезагрузится, а в адресной строке отобразятся два значка: щит, перечеркнутый красной линией, и желтый треугольник с восклицательным знаком. Эти значки напоминают вам, что некоторое содержимое на странице ставит под угрозу вашу информацию.

Firefox: блокировка смешанного содержимого

Функция блокировки смешанного содержимого используется в Mozilla Firefox для защиты вашей информации, но при этом вы можете выбрать, просматривать ли смешанное активное содержимое. Содержимое этого типа может повлиять на поведение всей страницы и привести к потенциальной краже конфиденциальных данных пользователя. Однако смешанное пассивное содержимое неспособно изменить поведение всей страницы, а повлияет только на фрагмент содержимого в формате HTTP (незащищенного).

Смешанное пассивное содержимое часто встречается в Интернете и включает элементы веб-страниц, такие как изображения, аудио и видео. Firefox не поддерживает автоматическую блокировку содержимого этого типа, так как это приведет к повреждению многих веб-страниц и ухудшению впечатлений от использования. Однако существует возможность блокировать смешанное пассивное содержимое, внеся изменения в конфигурацию обозревателя.

Подробнее

Дополнительные сведения о смешанном содержимом см. в приведенных ниже статьях на веб-сайте Mozilla.

Как небезопасный контент может повлиять на мою безопасность? Служба поддержки Mozilla.
В Firefox 23 включена блокировка смешанного содержимого! Блог Танви, служба обеспечения безопасности Mozilla.

Что такое смешанное содержимое или mixed content? — База знаний

Смешанный контент или mixed content, это когда страница загружается с использованием сертификата SSL по защищенному соединению HTTPS, а некоторые элементы по стандартному HTTP.

Такое может произойти тогда когда данные подгружаются по незащищенному протоколу.

Суть HTTPS заключается в передаче данных между пользователем и сервером с помощью шифрования. Важно, чтобы все ресурсы страницы подгружались по зашифрованному соединению.

Смешанное содержимое страницы может быть двух типов:

Активным, содержащим в себе исполняемые скрипты.
Пассивным, при котором контент отображается без использования скриптов, например фото, музыка, видео.

Чем опасен mixed content?

Наибольшая опасность от mixed content – кража персональных данных пользователей, как с текущего сайта, так с помощью постороннего. Если говорить про влияние на

SEO, то незащищенное содержимое оказывает колоссальное влияние на него.
Во-первых, посетители оповещаются об опасных ресурсах на странице, после чего пользователи, как правило, покидают сайт.

Во-вторых, Google сам факт отсутствия HTTPS протокола у страницы или ее содержимого принимает за негативный сигнал, после чего также идет понижение позиций в поисковиках.

Как обнаружить смешанный контент на сайте?

Адресная строка браузера

Зайдя на страницу, ее URL-адрес должен начинаться с HTTPS. Далее смотрим на иконку слева от адреса, если содержимое защищено, то отображается замок, в противном случае, появляется надпись: «Не защищено».

При наличии смешанного содержимого в Chrome может пометить всю страницу как не защищенную.

В Firefox информация показывается детальнее, указывая на незащищенный контент.

Искать на сайте проблемные страницы достаточно трудозатратно если сайт большой, то каждую придется перебирать вручную. К тому же, не всегда удается сходу понять из-за какого именно элемента возник конфликт.

С помощью консоли разработчика

С помощью данного инструмента можно получить информацию о том, какой именно элемент подгружается не по защищенному протоколу. Чтобы открыть консоль, воспользуйтесь комбинацией клавиш – CTRL + Shift + I или проста нажмите F12 в chrome, либо щелкните правой кнопкой по пустому месту страницы и выберете «Просмотреть код». В браузере откроется консоль, где сразу видно mixed content.

Поиск в Screaming Frog Seo Spider

Для автоматизации поиска страниц со смешанным контентом, так же можно использовать специальный софт. Одной из таких программ является Screaming Frog Seo Spider, которая включает в себя множество инструментов по анализу технической стороны сайта.

С помощью онлайн-сервиса

Если нет Screaming Frog Seo Spider, можно воспользоваться полуавтоматическим способом поиска страниц со смешанным контентом. Для этого существуют специальные сервисы, которые сканируют сайт и выводят URL-адреса, на которых присутствует mixed content.

Как исправить смешанное содержимое?

Как уже стало понятно из статьи, незащищенные элементы подгружаются по HTTP протоколу. Поэтому главная задача, это сделать так, чтобы они грузились только через HTTPS.

Иногда при переезде сайта с HTTP на HTTPS, неправильно настраивают 301 редиректы, в итоге перенаправление срабатывает только для страниц, а содержимое продолжает работать по старому протоколу. В этом случаи нужно перевести всё содержимое на HTTPS.

Связанные статьи

Ошибки сайта 4.х.х и 5.х.х

Ошибка 400 Bad Request Проявляется, в случае некорректного запроса. Следовательно, причину…

500 Internal Server Errors

Как исправить внутреннюю ошибку сервера 500В отличие от других ошибок на стороне сервера, таких…

Ошибки FTP соединений

В данном руководстве рассмотрим распространенные ошибки при работе с FTP и варианты их решения. В…

Как исправить ошибку «Не удалось получить список каталогов» в FileZilla

При использовании FTP клиента FileZilla, если вы можете столкнулись с такой ошибкой: Статус:…

Смешанное содержимое — Веб-безопасность

Когда пользователь посещает страницу, обслуживаемую по протоколу HTTPS, его соединение с веб-сервером шифруется с помощью TLS и, таким образом, защищено от большинства снифферов и атак типа «человек посередине». Страница HTTPS, которая включает содержимое, полученное с использованием открытого текста HTTP, называется страницей со смешанным содержимым . Подобные страницы зашифрованы лишь частично, поэтому незашифрованный контент остается доступным для снифферов и злоумышленников. Это делает страницы небезопасными.

Существует две категории смешанного содержимого: смешанное пассивное/отображаемое содержимое и смешанное активное содержимое . Разница заключается в уровне угрозы наихудшего сценария, если контент переписывается как часть атаки «человек посередине». В случае пассивного контента угроза ниже (страница может содержать вводящий в заблуждение контент, могут быть украдены файлы cookie пользователя). В случае активного контента угроза может привести к фишингу, раскрытию конфиденциальных данных, перенаправлению на вредоносные сайты и т. д.

Смешанное пассивное/отображаемое содержимое

Смешанное пассивное/отображаемое содержимое — это содержимое, обслуживаемое через HTTP, которое включено в веб-страницу HTTPS, но которое не может изменить другие части веб-страницы. Например, злоумышленник может заменить изображение, переданное по протоколу HTTP, неприемлемым изображением или сообщением для пользователя. Злоумышленник также может получить информацию о действиях пользователя, наблюдая за тем, какие изображения предоставляются пользователю; часто изображения отображаются только на определенной странице веб-сайта. Если злоумышленник наблюдает HTTP-запросы к определенным изображениям, он может определить, какую веб-страницу посещает пользователь.

Список пассивного контента

В этом разделе перечислены все типы HTTP-запросов, которые считаются пассивным контентом:

( src атрибут)
<аудио> ( src атрибут)
<видео> ( src атрибут)
<объект> подресурсы (когда <объект> выполняет HTTP-запросы)

Смешанное активное содержимое

Смешанное активное содержимое — это содержимое, имеющее доступ ко всей или части объектной модели документа страницы HTTPS. Этот тип смешанного контента может изменить поведение HTTPS-страницы и потенциально украсть конфиденциальные данные пользователя. Следовательно, в дополнение к рискам, описанным выше для смешанного отображаемого контента, смешанный активный контент уязвим для нескольких других векторов атак.

В случае со смешанным активным содержимым злоумышленник-посредник может перехватить запрос HTTP-содержимого. Злоумышленник также может переписать ответ, включив в него вредоносный код JavaScript. Вредоносный активный контент может украсть учетные данные пользователя, получить конфиденциальные данные о пользователе или попытаться установить вредоносное ПО в систему пользователя (например, используя уязвимости в браузере или его подключаемых модулях).

Риск, связанный со смешанным содержимым, зависит от типа веб-сайта, который посещает пользователь, и от того, насколько конфиденциальными могут быть данные, предоставляемые этому сайту. Веб-страница может иметь общедоступные данные, видимые миру, или частные данные, видимые только после аутентификации. Если веб-страница общедоступна и не содержит конфиденциальных данных о пользователе, использование смешанного активного контента по-прежнему дает злоумышленнику возможность перенаправить пользователя на другие HTTP-страницы и украсть HTTP-куки с этих сайтов.

Примеры активного содержимого

В этом разделе перечислены некоторые типы HTTP-запросов, которые считаются активным содержимым:

<ссылка> (атрибут href ) (включая таблицы стилей CSS)
</code> ( <code> src </code> атрибут)</li><li> <code> XMLHttpRequest </code> запросов</li><li> <code> fetch() </code> запросов</li><li> Все случаи в CSS, где <code> url() 9Используется значение 0023 ( <code> @font-face </code> , <code> cursor </code> , <code> background-image </code> и так далее).</li><li> <code> <объект> </code> ( <code> данные </code> атрибут)</li><li> <code> Navigator.sendBeacon </code> ( <code> атрибут url </code> )</li></ul><p> Другие типы ресурсов, такие как веб-шрифты и рабочие файлы, могут считаться активным смешанным содержимым, как и в Chrome.</p><center><ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-1812626643144578" data-ad-slot="3076124593" data-ad-format="auto" data-full-width-responsive="true"></ins> <script>(adsbygoogle=window.adsbygoogle||[]).push({});</script></center><p> Большинство браузеров предотвращают загрузку <em> смешанного активного содержимого </em>, а некоторые также блокируют <em> смешанное содержимое дисплея </em> .<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/cdn4.wpbeginner.com/wp-content/uploads/2018/08/enablewpssl.png' /><noscript><img loading='lazy' src='/800/600/http/cdn4.wpbeginner.com/wp-content/uploads/2018/08/enablewpssl.png' /></noscript></p><h4><span class="ez-toc-section" id="i-17"> Загрузка локально доставляемых смешанных ресурсов </span></h4><p> Браузеры <em> могут </em> разрешать загрузку локально доставляемых смешанных ресурсов. Сюда входит файл <code>: URL-адреса </code> и содержимое, доступ к которому осуществляется с адресов обратной связи (например, <code> http://127.0.0.1/</code>).</p><ul><li> Firefox 55 и более поздние версии разрешают загрузку смешанного контента на петлевой адрес <code> http://127.0.0.1/ </code> (см. ошибку<h3 data-level="2"><span class="ez-toc-section" id="6">6), </span></h3></li><li> Firefox 84 и более поздние версии позволяют загружать смешанный контент на <code> http://localhost/ </code> и <code> http://*.localhost/ </code> URL-адреса, поскольку теперь они сопоставлены с петлевыми адресами (см. ошибку 1220810).</li><li> Chrome также допускает смешанный контент на <code> http://127.0.0.1/</code> и <code> http://localhost/</code>.</li><li> Safari не допускает смешанный контент.</li><center><ins class="adsbygoogle" style="display:inline-block;width:300px;height:600px" data-ad-client="ca-pub-1812626643144578" data-ad-slot="4908081011"></ins> <script>(adsbygoogle=window.adsbygoogle||[]).push({});</script></center></ul><h4><span class="ez-toc-section" id="i-18"> Обновление ресурсов со смешанным отображением </span></h4><p> Браузеры могут поддерживать автоматическое обновление запросов на отображение/медиаконтент с HTTP на HTTPS на защищенных страницах (это предотвращает условия смешанного содержимого, при которых одно содержимое загружается безопасно, а другое содержимое небезопасно).<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/media.rbcdn.ru/media/tags/shutterstock296302733.jpg' /><noscript><img loading='lazy' src='/800/600/http/media.rbcdn.ru/media/tags/shutterstock296302733.jpg' /></noscript></p><p> Firefox поддерживает эту функцию в качестве экспериментальной. Его можно включить с помощью настройки <code> security.mixed_content.upgrade_display_content </code>).</p><ul><li> Если обновление завершается сбоем (из-за того, что хост носителя не поддерживает HTTPS), носитель не загружается.</li><li><center><ins class="adsbygoogle" style="display:inline-block;width:580px;height:400px" data-ad-client="ca-pub-1812626643144578" data-ad-slot="8813674614"></ins> <script>(adsbygoogle=window.adsbygoogle||[]).push({});</script></center> Предупреждения консоли сообщают об успешном обновлении содержимого.</li><li> Для получения дополнительной информации см. Экспериментальные функции в Firefox > Обновление содержимого смешанного отображения.</li></ul><p> Веб-консоль Firefox отображает предупреждающее сообщение о смешанном содержимом в панели «Сеть», когда на странице вашего веб-сайта возникает эта проблема. Ресурс со смешанным содержимым, который был загружен через HTTP, будет отображаться красным вместе с текстом «смешанный контент», который ссылается на эту страницу.</p><p></p><p> Помимо обнаружения этих предупреждений в веб-консоли, для сообщения о проблемах можно использовать политику безопасности содержимого (CSP).<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.pinimg.com/736x/2e/85/a2/2e85a287240cf4d60cd9d042d79c5b67.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.pinimg.com/736x/2e/85/a2/2e85a287240cf4d60cd9d042d79c5b67.jpg' /></noscript><center><div class="advv"><ins class="adsbygoogle" style="display:inline-block;width:336px;height:280px" data-ad-client="ca-pub-1812626643144578" data-ad-slot="9935184599"></ins> <script>(adsbygoogle=window.adsbygoogle||[]).push({});</script></div></center> Вы также можете использовать онлайн-сканер, такой как SSL-check или Missing Padlock, который будет рекурсивно проверять ваш сайт и находить ссылки на небезопасный контент.</p><p> Начиная с Firefox 23, смешанный активный контент блокируется по умолчанию (и смешанный отображаемый контент можно заблокировать, установив предпочтение). Чтобы веб-разработчикам было проще находить ошибки смешанного содержимого, все заблокированные запросы смешанного содержимого регистрируются на панели «Безопасность» веб-консоли, как показано ниже:</p><p>.</p><p> Чтобы исправить ошибку этого типа, все запросы к содержимому HTTP должны быть удалены и заменены содержимым, обслуживаемым через HTTPS. Некоторые распространенные примеры смешанного содержимого включают файлы JavaScript, таблицы стилей, изображения, видео и другие медиафайлы.</p><center><ins class="adsbygoogle" style="display:block; text-align:center;" data-ad-layout="in-article" data-ad-format="fluid" data-ad-client="ca-pub-1812626643144578" data-ad-slot="4491286225"></ins> <script>(adsbygoogle=window.adsbygoogle||[]).push({});</script></center><p> <strong> Примечание: </strong> Консоль отобразит сообщение об успешном обновлении содержимого смешанного отображения с HTTP на HTTPS (вместо предупреждения о «Загрузка содержимого смешанного (небезопасного) отображения»).<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.gyazo.com/7379e72b621c6f561447661d71ab470a.png' /><noscript><img loading='lazy' src='/800/600/http/i.gyazo.com/7379e72b621c6f561447661d71ab470a.png' /></noscript></p><ul><li> Смешанное содержимое — черновик редактора W3C</li><li> Как исправить сайт с заблокированным смешанным содержимым</li></ul><p> <b> Последнее изменение: </b> <time datetime="2022-09-19T04:57:04.000Z"> 19 сентября 2022 г. </time> , участниками MDN</p><h2><span class="ez-toc-section" id="_HTTPS"> Стандарт только для HTTPS — смешанный контент </span></h2><p> Когда веб-сайт HTTPS ссылается на небезопасные (HTTP) ресурсы, это называется <strong> смешанным содержимым </strong> .</p><p> Браузеры не позволяют веб-сайту HTTPS загружать большинство небезопасных ресурсов, таких как шрифты, сценарии и т. д. Миграция существующего веб-сайта с HTTP на HTTPS означает идентификацию и исправление или замену смешанного содержимого.</p><p> Смешанное содержимое бывает двух видов:</p><p> <strong> Активное </strong> Смешанное содержимое включает ресурсы, которые могут значительно изменить поведение веб-сайта, такие как JavaScript, CSS, шрифты и фреймы. Браузеры отказываются загружать активный смешанный контент, что часто приводит к тому, что затронутые страницы полностью не оформлены или повреждены.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/e9041ckye5fs4xu2qutywbh-wpengine.netdna-ssl.com/wp-content/uploads/2014/12/IMG_3873.jpg' /><noscript><img loading='lazy' src='/800/600/http/e9041ckye5fs4xu2qutywbh-wpengine.netdna-ssl.com/wp-content/uploads/2014/12/IMG_3873.jpg' /></noscript> Браузеры относятся к ним очень агрессивно из-за последствий их взлома. Например, один скомпрометированный файл Javascript ставит под угрозу весь веб-сайт, независимо от того, как загружаются другие ресурсы.</p><p> <strong> Пассив </strong> Смешанное содержимое включает ресурсы, влияние которых на общее поведение страницы более минимально, например изображения, аудио и видео. Браузеры будут загружать пассивный смешанный контент, но обычно меняют индикатор HTTPS.</p><p> В Chrome индикатор веб-сайта для пассивного смешанного контента выглядит следующим образом:</p><p></p><h3><span class="ez-toc-section" id="i-19"> Стратегия миграции </span></h3><p> Ситуация со смешанным контентом на каждом веб-сайте будет разной, но общий подход таков:</p><ul><li> Включить <code> https:// </code> для вашего сайта, но не принудительно перенаправлять. Продолжайте представлять версию <code> http://</code> в качестве канонического URL-адреса для поисковых систем.</li><li> Определите наиболее очевидные и распространенные фрагменты смешанного контента, загрузив свой веб-сайт в браузере по адресу <code> https:// </code> и наблюдая за поломками.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/1.bp.blogspot.com/-XtRD6okGWaY/T7-_5ovbfvI/AAAAAAAAAEw/pvG2YaXSXW0/s1600/Contoh21.png' /><noscript><img loading='lazy' src='/800/600/http/1.bp.blogspot.com/-XtRD6okGWaY/T7-_5ovbfvI/AAAAAAAAAEw/pvG2YaXSXW0/s1600/Contoh21.png' /></noscript> Chrome, Opera и Firefox будут регистрировать любые предупреждения о смешанном содержании в консоли, что должно указывать на необходимые изменения для всего сайта. Используйте их для защиты ваших ссылок на ресурсы.</li><li> После их исправления устраните «длинный хвост», отсканировав код и просканировав веб-сайт.</li><li> Наконец, принудительно перенаправьте на HTTPS, включите HSTS и сообщите поисковым системам, что ваш новый URL-адрес начинается с <code> https:// </code> .</li></ul><p> Примечание. В приведенных ниже инструкциях используются инструменты <strong>, оптимизированные для среды OS X или Linux </strong>. Документация по инструментам для Windows будет долгожданным дополнением к этому руководству.</p><p> Наиболее часто используемые сторонние службы, такие как Google Analytics или AddThis, <strong> автоматически адаптирует </strong> при переходе на HTTPS.</p><p> Для других служб может потребоваться обновление вручную, но должна быть готова версия <code> https:// </code>:</p><pre data-lang="html"> <link href="https://fonts.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/pbs.twimg.com/media/CxRrBJjWIAAS41q.jpg' /><noscript><img loading='lazy' src='/800/600/http/pbs.twimg.com/media/CxRrBJjWIAAS41q.jpg' /></noscript> googleapis.com/css?family=Open+Sans" rel="stylesheet "> </pre><p> Вообще говоря, для контента в вашем собственном домене по возможности придерживайтесь URL-адресов, относящихся к сайту:</p><pre data-lang="html"> <img class="lazy lazy-hidden" decoding="async" src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src="/media/my-picture.png" /><noscript><img decoding="async" src="/media/my-picture.png" /></noscript> </pre><p> При переносе сайта с большим количеством материалов, отправленных пользователями или сотрудниками (например, блога), вы можете обнаружить, что медиафайлы связаны со сторонним доменом, который не поддерживает HTTPS.</p><p> Это прекрасная возможность улучшить конфиденциальность вашего веб-сайта и уменьшить вашу зависимость от третьих лиц, вместо этого скопировав эти медиафайлы на свой собственный сервер и разместив их самостоятельно.</p><h3><span class="ez-toc-section" id="i-20"> Сканирование кода </span></h3><p> После выявления и устранения очевидных проблем вы можете сканировать файлы своего веб-сайта на предмет потенциальных клиентов. В системе на базе Mac или Linux очень удобен <code> grep </code>:</p><p> Изображения и сценарии:</p><pre data-lang=""> grep -r "src=\"http:" * </pre><p> Таблицы стилей и шрифты:</p><pre data-lang=""> grep -r "href=\"http:" * | grep "<ссылка" </pre><p> Импорт CSS и ссылки:</p><pre data-lang=""> grep -r "url(\"http:" </pre><p> Поиск ссылок в JavaScript является более сложной задачей, но вы можете просмотреть все <code> ссылки http: </code> и попытаться исключить гиперссылки в HTML или Markdown:</p><pre data-lang=""> grep -r "http:" | grep -v "href=\"http:" grep -r "http:" | grep -v "](http:" </pre><h3><span class="ez-toc-section" id="i-21"> Сканирование вашего веб-сайта </span></h3><p> <code> сканирование смешанного содержимого </code> — очень удобный инструмент командной строки, который может сканировать <code> http:// </code> или <code> https:// </code> веб-сайт, чтобы узнать, содержит ли он какие-либо ссылки на небезопасные ресурсы.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/ivobeerens.nl/wp-content/uploads/2018/02/security-1024x718.png' /><noscript><img loading='lazy' src='/800/600/http/ivobeerens.nl/wp-content/uploads/2018/02/security-1024x718.png' /></noscript> Это особенно полезно, если ваш контент в основном управляется в CMS.</p><p> <code> сканирование смешанного содержимого </code> требуется PHP, а затем установка Composer. Установите с помощью Composer, а затем используйте его со своим доменом:</p><pre data-lang="bash">, сканирование смешанного содержимого https://https.cio.gov. </pre><p> Вы должны увидеть что-то вроде этого:</p><pre data-lang=""> [2015-03-15 16:56:48] MCS.NOTICE: Scanning https://https.cio.gov/ [] [] [2015-03-15 16:56:49] MCS.INFO: 00000 - https://https.cio.gov/ [] [] [2015-03-15 16:56:49] MCS.INFO: 00001 - https://https.cio.gov/faq/ [] [] [2015-03-15 16:56:49] MCS.INFO: 00002 - https://https.cio.gov/hsts/ [] [] [2015-03-15 16:56:49] MCS.INFO: 00003 - https://https.cio.gov/resources/ [] [] [2015-03-15 16:56:49] MCS.NOTICE: Отсканировано 4 страницы для смешанного контента [] [] </pre><p> Любой обнаруженный смешанный контент будет отмечен как <code> ПРЕДУПРЕЖДЕНИЕ </code> . Вы также можете получить результаты в виде объектов JSON, разделенных новой строкой:</p><pre data-lang="bash"> сканирование смешанного содержимого https://https.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/unmitigatedrisk.com/wp-content/uploads/2014/08/1.png' /><noscript><img loading='lazy' src='/800/600/http/unmitigatedrisk.com/wp-content/uploads/2014/08/1.png' /></noscript> cio.gov --format=json </pre><h3><span class="ez-toc-section" id="i-22"> Автоматическое обнаружение смешанного содержимого </span></h3><p> Владельцы веб-сайтов также могут использовать заголовок <strong> Content Security Policy </strong>, который будет указывать браузерам проверять заданный URL-адрес с информацией о любых наблюдаемых предупреждениях о смешанном содержимом.</p><p> Политика CSP, в которой указана проверка связи только для предупреждений о смешанном содержимом, может выглядеть следующим образом:</p><pre data-lang=""> Content-Security-Policy-Report-Only: default-src https:; URI-отчет https://example.com/reporting/endpoint </pre><p> Отчетность CSP, особенно для более крупных служб, представляет собой расширенный подход, который, вероятно, потребует планирования и настройки специальной группой разработчиков.</p><p> Некоторые ресурсы:</p><ul><li> Инженер описывает подход Twitter по состоянию на 2014 год.</li><li> <code> report-uri.io </code> , который предлагает размещенный URI для отчетов о нарушениях CSP (или нарушениях закрепления открытого ключа) и сопутствующую панель мониторинга.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.pinimg.com/originals/f1/f8/40/f1f840e30904f7aafe7fec3cb4a57ae0.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.pinimg.com/originals/f1/f8/40/f1f840e30904f7aafe7fec3cb4a57ae0.jpg' /></noscript></li><li> Недавно разработанное расширение CSP, Upgrade Insecure Requests, будет указывать браузерам автоматически обновлять ссылочные URL-адреса HTTP до URL-адресов HTTPS, не вызывая обнаружения смешанного содержимого. Это расширение не доработано и по состоянию на июнь 2015 года доступно только в Chrome.</li></ul><h3><span class="ez-toc-section" id="i-23"> Почему браузеры блокируют смешанный контент? </span></h3><p> Если бы смешанный контент не был заблокирован, злоумышленник мог бы получить контроль над основным сайтом, проведя атаку на любой из его активных ресурсов.</p><p> Даже с пассивным содержимым, таким как изображения, злоумышленники могут манипулировать тем, как выглядит страница, поэтому желтый значок замка предназначен для того, чтобы сообщить, что безопасность была ослаблена и доверие пользователей должно быть снижено. Кроме того, злоумышленник сможет прочитать любые файлы cookie для этого домена, которые имеют <code> Безопасный флаг </code> и установка файлов cookie.</p><p> Когда веб-сайт доступен по адресу <code> http:// </code> , загрузка других небезопасных ресурсов не вызывает никаких предупреждений, поэтому веб-сайты, работающие по простому HTTP, часто накапливают многие из этих подресурсов.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.ytimg.com/vi/nl4PIPHtUKw/hqdefault.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.ytimg.com/vi/nl4PIPHtUKw/hqdefault.jpg' /></noscript></p><h3><span class="ez-toc-section" id="i-24"> Вопросы безопасности для стороннего контента </span></h3><p> Добавление или загрузка контента из сторонних доменов создает дополнительный вектор атаки.</p><p> Даже если на странице все элементы страницы загружены через HTTPS, изменения в конфигурациях HTTPS могут привести к уязвимостям в системе безопасности. Например, если «foo.gov» загружает элемент страницы по HTTPS с «bar.com», но «bar.com» не так требователен к конфигурации HTTPS/TLS, элемент страницы с «bar.com» может разрешить внедрение вредоносного ПО на страницу.</p><p> Например, если «bar.com» использует заведомо слабую конфигурацию TLS, злоумышленник в сети может изменить или заменить элемент страницы, чтобы внедрить программное обеспечение, которое может читать содержимое страницы или, потенциально, использовать уязвимости браузера и обеспечить более глобальный доступ к клиентскому устройству. Соответственно, так же, как важно регулярно оценивать конфигурацию HTTPS/TLS веб-сайтов правительства США, важно также оценивать конфигурации доменов, которые обслуживают сторонние элементы страницы.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/tipsperawatancantik.com/wp-content/uploads/2017/09/manfaat-kebiasaan-mencuci-wajah-dengan-air-beras.jpg' /><noscript><img loading='lazy' src='/800/600/http/tipsperawatancantik.com/wp-content/uploads/2017/09/manfaat-kebiasaan-mencuci-wajah-dengan-air-beras.jpg' /></noscript></p><p> Обратите внимание, что это по-прежнему серьезное улучшение по сравнению с включением содержимого сторонних доменов по незашифрованному HTTP. Атаки на конфиденциальность, целостность и безопасность подключений к сторонним доменам по незашифрованному протоколу HTTP тривиальны.</p><h2><span class="ez-toc-section" id="i-25"> Смешанное содержимое </span></h2><h3 data-level="1"><span class="ez-toc-section" id="1"> 1. Введение </span></h3><p> <em> Этот раздел не является нормативным. </em></p><p> Когда пользователь успешно загружает веб-страницу с <code> example.com </code> через безопасный канал (например, HTTPS), пользователю гарантируется, что никакой объект между пользовательским агентом и <code> example.com </code> прослушивали или подделка данных, передаваемых между ними. Однако эта гарантия является ослаблен, если веб-страница загружает подресурсы, такие как скрипт или изображения, через небезопасное соединение. Например, небезопасно загруженный скрипт может позволить злоумышленник может прочитать или изменить данные от имени пользователя.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/wikitechnews.net/wp-content/uploads/2020/10/%C2%BFChrome-esta-bloqueando-las-descargas-%C2%A1He-aqui-por-que-1024x649.png' /><noscript><img loading='lazy' src='/800/600/http/wikitechnews.net/wp-content/uploads/2020/10/%C2%BFChrome-esta-bloqueando-las-descargas-%C2%A1He-aqui-por-que-1024x649.png' /></noscript> Ненадежно загруженный изображение может позволить злоумышленнику сообщить пользователю неверную информацию (например, сфабрикованная биржевая диаграмма), изменить состояние на стороне клиента (например, установить cookie) или побудить пользователя совершить непреднамеренное действие (например, изменить надпись на кнопке). Эти запросы известны как смешанный контент.</p><p> В этой спецификации подробно описывается, как пользовательский агент может уменьшить эти риски путем блокирование определенных типов смешанного контента и более строгое поведение в некоторых контексты.</p><p> Однако более ранние версии этой спецификации не полностью защищали конфиденциальность и целостность данных пользователей. Небезопасный контент, такой как изображения, аудио и видео в настоящее время могут быть загружены по умолчанию в безопасных контекстах. Защищенные страницы могут даже инициировать небезопасные загрузки, которые полностью выходят из песочницы пользовательского агента.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.pinimg.com/736x/d2/48/5a/d2485a7a9ed44e2b73988b39d93e3c9c--light-switches-important.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.pinimg.com/736x/d2/48/5a/d2485a7a9ed44e2b73988b39d93e3c9c--light-switches-important.jpg' /></noscript></p><p> Кроме того, пользователи не имеют четкого индикатора безопасности при загрузке смешанного содержимого. Когда веб-страница загружает смешанный контент, браузеры отображают промежуточный индикатор безопасности (например, удаление значок замка), что не дает пользователям четкого указания, следует ли им доверять страница. Этот UX также не оказался достаточным стимулом для разработчиков избегать смешанного контента. поскольку веб-страницы по-прежнему часто загружают смешанный контент. Блокировка всего смешанного контента предоставить пользователю более простую мысленную модель — веб-страница либо загружается через безопасный транспорта или нет — и призывайте разработчиков безопасно загружать любой смешанный контент, который необходимые для правильной работы их веб-страницы.</p><p> Таким образом, эта спецификация была обновлена, чтобы предоставить пользователям лучшие гарантии безопасности и конфиденциальности, а также лучший пользовательский интерфейс безопасности при минимизации поломка.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/3.bp.blogspot.com/-gh1-dyCHjhM/XBY2tMToFsI/AAAAAAAAApE/x2vNc0vMrowvOwZbl0JrrP74fr0-gQmogCLcBGAs/s1600/mixed2.png' /><noscript><img loading='lazy' src='/800/600/http/3.bp.blogspot.com/-gh1-dyCHjhM/XBY2tMToFsI/AAAAAAAAApE/x2vNc0vMrowvOwZbl0JrrP74fr0-gQmogCLcBGAs/s1600/mixed2.png' /></noscript> Вместо того, чтобы рекомендовать браузерам просто строго блокировать весь смешанный контент, эта спецификация рекомендует <i> автоматическое обновление смешанного контента </i> :</p>.<ul><li data-md=""><p> Смешанное содержимое, которое пользовательские агенты еще не блокируют, должно быть автоматически обновлено до безопасного транспорта.</p></li><li data-md=""><p> Если запрос не может быть автоматически обновлен, он будет заблокирован.</p></li></ul><p> Автообновление позволяет избежать загрузки небезопасных ресурсов на безопасный веб-страниц, сводя к минимуму усилия разработчиков, необходимые для предотвращения поломки.</p><p> В этой спецификации рекомендуется только автоматическое обновление типов подресурсов со смешанным содержимым. которые в настоящее время не заблокированы по умолчанию, и не рекомендует автообновление типов контента которые уже заблокированы. Это сделано для того, чтобы свести к минимуму количество изменений, видимых в Интернете; мы только хотим автоматически обновлять контент, если он продвигает нас к цели блокировки всего смешанного контента по умолчанию.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/1.bp.blogspot.com/-vd8gJn7-Oto/Xs5hXtw4MjI/AAAAAAAAAGU/REhlhlz0mocBKbj2ThgEKNbWCwg7QcBhQCLcBGAsYHQ/w1200-h630-p-k-no-nu/img_1.jpg' /><noscript><img loading='lazy' src='/800/600/http/1.bp.blogspot.com/-vd8gJn7-Oto/Xs5hXtw4MjI/AAAAAAAAAGU/REhlhlz0mocBKbj2ThgEKNbWCwg7QcBhQCLcBGAsYHQ/w1200-h630-p-k-no-nu/img_1.jpg' /></noscript></p><p> В этой спецификации также явно представлена концепция <i> смешанных загрузок </i> . смешанный загрузка — это ресурс, который пользовательский агент обрабатывает как загрузку, инициированную безопасным контексте, но загружается через небезопасное соединение. Пользовательские агенты должны блокировать смешанные загрузки потому что они могут выйти из песочницы пользовательского агента (в случае исполняемого файла) или содержать конфиденциальную информацию (например, загруженную банковскую выписку). Это особенно вводит в заблуждение, потому что пользовательские агенты обычно указывают пользователю, что он находится на защищенной странице, при инициализации и завершение смешанной загрузки.</p><h3 data-level="2"><span class="ez-toc-section" id="2"> 2. Основные понятия и терминология </span></h3><dl><dt> <dfn data-dfn-type="dfn" data-export="" data-local-lt="mixed"> смешанное содержимое </dfn></dt><dd> Запрос представляет собой <strong> смешанный контент </strong>, если его URL-адрес не является потенциально надежным URL-адресом [SECURE-CONTEXTS] <strong> и </strong> контекст, ответственный за его загрузка запрещает смешанные контексты безопасности (см.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/pandagila.com/wp-content/uploads/2021/08/mengatasi-masalah-mixed-content-820x394.png' /><noscript><img loading='lazy' src='/800/600/http/pandagila.com/wp-content/uploads/2021/08/mengatasi-masalah-mixed-content-820x394.png' /></noscript> §4.3 Запрещают ли настройки смешанные контексты безопасности? нормативное определение последнего).<p> Ответ представляет собой <strong> смешанный контент </strong>, если это неаутентифицированный ответ, <strong> и </strong> контекст ответственный за загрузку требует запрещает смешанные контексты безопасности.</p><p data-readability-styled="true"> Внутри контекста, который ограничивает смешанное содержимое (например, <code> https://secure.example.com/</code>):</p><ol><li data-md=""><p> Запрос скрипта <code> http://example.com/script.js </code> <strong> смешанный контент </strong> . Поскольку запросы сценариев можно заблокировать, пользовательский агент скорее вернет сетевую ошибку. чем загрузка ресурса.</p></li><li data-md=""><p> Запрос изображения <code> http://example.com/image.png </code> <strong> смешанный контент </strong> . Поскольку запросы изображений можно обновлять, пользовательский агент может переписать URL-адрес как <code> https://example.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/mkparadise.com/wp-content/uploads/2019/10/really-simple-ssl.jpg' /><noscript><img loading='lazy' src='/800/600/http/mkparadise.com/wp-content/uploads/2019/10/really-simple-ssl.jpg' /></noscript> com/image.png </code> , иначе он будет заблокирован. Загрузка.</p></li></ol><p role="note"> Примечание. «Смешанное содержимое» изначально было определено в разделе 5.3 [WSC-UI]. Этот документ обновляет это первоначальное определение.</p><p role="note"> Примечание. [XML] также определяет несвязанное «смешанное содержимое». концепция. Это потенциально сбивает с толку, но, учитывая, что термин почти повсеместное использование в контексте безопасности между пользовательскими агентами более чем десятилетие, практический риск путаницы кажется низким.</p></dd><dt> <dfn data-dfn-type="dfn" data-export="" data-local-lt="unauthenticated" data-lt="unauthenticated response"> ответ без аутентификации </dfn></dt><dd> Мы знаем <i lang="la"> апостериори </i>, что ответ ( <var> ответ </var> ) не прошел проверку подлинности, если <var> URL-адрес ответа </var> не является потенциально заслуживающим доверия URL-адресом.</dd><dt> <dfn data-dfn-type="dfn" data-export=""> вложение документа </dfn></dt><dd> Учитывая документ <code> </code> <var> A </var> , вложение <strong> документ </strong> из <var> A </var> — это документ-контейнер контекста просмотра <var> A </var> [HTML].<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/st2.depositphotos.com/3591429/6309/i/950/depositphotos_63099617-stock-photo-people-at-meeting-about-social.jpg' /><noscript><img loading='lazy' src='/800/600/http/st2.depositphotos.com/3591429/6309/i/950/depositphotos_63099617-stock-photo-people-at-meeting-about-social.jpg' /></noscript></dd><dt> <dfn data-dfn-type="dfn" data-export=""> смешанная загрузка </dfn></dt><dd> Смешанная загрузка — это ресурс, который пользовательский агент обрабатывает как загрузку, который был инициирован безопасным контекстом, но загружается через небезопасное соединение.</dd></dl><p role="note"> URL-адрес </dfn> с априорной аутентификацией <dfn data-dfn-type="dfn" data-export="" data-local-lt="a priori authenticated"> <i lang="la"> <i lang="la"> эквивалентен потенциально заслуживающему доверия URL-адресу [SECURE-CONTEXTS].</p><h3 data-level="3"><span class="ez-toc-section" id="3"> 3. Категории контента </span></h3><p> В идеальном мире каждый пользовательский агент должен блокировать все смешанные содержание без исключения. К сожалению, в сегодняшней ситуации это нецелесообразно. Интернет; пользовательский агент должен быть более тонким в своих ограничениях, чтобы избежать ухудшение опыта на значительном количестве веб-сайтов.</p><p> Имея это в виду, мы разделили смешанный контент на две категории: §3.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/it-consult.pro/wp-content/uploads/2020/11/https-1024x683.jpg' /><noscript><img loading='lazy' src='/800/600/http/it-consult.pro/wp-content/uploads/2020/11/https-1024x683.jpg' /></noscript> 1 Обновляемый контент и §3.2 Блокируемый контент.</p><h4 data-level="3.1"><span class="ez-toc-section" id="31"> 3.1. Обновляемый контент </span></h4><p role="note"> Обновляемый контент ранее назывался <em> опционально блокируемым </em> в более ранние версии этой спецификации.</p><p> Смешанное содержимое является <dfn data-dfn-type="dfn" data-export="" data-local-lt="upgradeable" data-lt="upgradeable mixed content"> обновляемым </dfn>, когда риск разрешения его использования в качестве смешанного содержимого перевешивается риском нарушая значительные части сети. Это может быть связано с тем, что смешанное использование типа ресурса достаточно высока, а также потому, что ресурс сам по себе является малорисковым. Тот факт, что эти типы ресурсов могут быть обновлены, это не значит, что их <em> сейф </em> просто так они менее катастрофически опасны, чем другие типы ресурсов. Например, изображения и значки часто являются центральными элементами пользовательского интерфейса в интерфейсе приложения.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/analytikaplus.ru/wp-content/uploads/rawpixel-771301-unsplash.jpg' /><noscript><img loading='lazy' src='/800/600/http/analytikaplus.ru/wp-content/uploads/rawpixel-771301-unsplash.jpg' /></noscript> Если злоумышленник изменил Значки «Удалить электронную почту» и «Ответить» окажут реальное влияние на пользователей.</p><p> В эту категорию входят:</p><ul><li data-md=""><p> Запросы, инициатором которых является пустая строка, а адресатом является " <code> image </code> ".</p><p role="note"> Примечание. Это соответствует большинству изображений, загруженных через <code> img </code> (включая документы SVG, загруженные как изображения, так как они заблокированы от выполнения скрипта или получения подресурсов) и CSS (фоновое изображение, граничное изображение и т. д.). Он не включает элементы <code> img </code>, которые используют srcset или изображение.</p></li><li data-md=""><p> Запросы, адресатом которых является «<code> видео </code>».</p><p role="note"> Примечание. Это соответствует видео, загруженному через <code> video </code> и <code> source </code> .</p></li><li data-md=""><p> Запросы, пункт назначения которых "<code> аудио </code>".<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/istanbuletc.com/wp-content/uploads/2017/06/yonetim-teknikleri.jpg' /><noscript><img loading='lazy' src='/800/600/http/istanbuletc.com/wp-content/uploads/2017/06/yonetim-teknikleri.jpg' /></noscript></p><p role="note"> Примечание. Это соответствует аудио, загруженному через <code> audio </code> и <code> source </code> .</p></li></ul><p> Мы дополнительно ограничиваем эту категорию в §4.4 Следует ли блокировать запрос на получение как смешанный контент? путем принудительного отказа любого CORS-поддерживаемого запрос. Это означает, например, что изображения со смешанным содержимым, загруженные через <code> <img class="lazy lazy-hidden" crossorigin ...><noscript><img crossorigin ...></noscript> </code>, будут заблокированы. Это хороший пример общего принципа, согласно которому содержание относится к этому категория <em> только </em>, когда он слишком широко используется, чтобы его можно было сразу заблокировать. Рабочая группа намеревается выделить больше блокируемых подмножеств с течением времени.</p><h4 data-level="3.2"><span class="ez-toc-section" id="32"> 3.2. Блокируемый контент </span></h4><p> Любой смешанный контент, который не подлежит обновлению, как определено выше, считается <dfn data-dfn-type="dfn" data-export="" data-local-lt="blockable" data-lt="blockable mixed content"> блокируемым </dfn> .<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.ytimg.com/vi/0dQhFmr8OEU/hqdefault.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.ytimg.com/vi/0dQhFmr8OEU/hqdefault.jpg' /></noscript> Типичные примеры такого рода содержимое включает сценарии, данные плагинов, данные, запрошенные через <code> XMLHttpRequest </code> и так далее.</p><p role="note"> Примечание. Запросы навигации могут быть нацелены на контексты просмотра верхнего уровня; это не считается смешанным содержанием. См. §4.4 Следует ли блокировать запрос на получение как смешанный контент? для деталей.</p><p role="note"> Примечание. Обратите внимание, что запросы, сделанные от имени подключаемого модуля, блокируются. Мы признаем, однако, что пользовательские агенты не всегда могут выполнять эти запросы. Плагины NPAPI, например, часто имеют прямой доступ к сети и, как правило, могут полностью обойти пользовательский агент. Мы рекомендуем что пользовательские агенты блокируют эти запросы, когда это возможно, и что поставщики плагинов реализуют смешанные самостоятельно проверять содержимое, чтобы снизить риски, описанные в этом документе.</p><h3 data-level="4"><span class="ez-toc-section" id="4"> 4. Алгоритмы </span></h3><h4 data-dfn-type="dfn" data-export="" data-level="4.</span></h4><span class="ez-toc-section" id="41_URL"><img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/raymii.org/s/inc/img/ssl-labs-3.png' /><noscript><img loading='lazy' src='/800/600/http/raymii.org/s/inc/img/ssl-labs-3.png' /></noscript> 1" data-lt="Upgrade a mixed content request to a potentially trustworthy URL, if appropriate"> 4.1. Обновите запрос </var> смешанного содержимого <var> до потенциально надежного URL-адреса, если это уместно </span></h4><p role="note"> Примечание. Спецификация Fetch будет подключаться к этому алгоритму для обновления смешанный контент на HTTPS.</p><p> Учитывая запрос Request <var> request </var> , этот алгоритм будет переписан его URL-адрес, если запрос считается обновляемым смешанным контентом, по следующему алгоритму:</p><ol><li> Если выполняется одно или несколько из следующих условий, возврат без изменения <var> запрос </var> :<ol><li> <var> URL-адрес запроса </var> является потенциально надежным URL-адресом.</li><li> §4.3 Запрещают ли настройки смешанные контексты безопасности? возвращает "<code> Не ограничивает смешанную безопасность Содержимое </code>" при применении к <var> запросу </var> клиента.</li><li> <var> режим запроса </var> — <code> CORS </code> .<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/s.mxmcdn.net/images-storage/albums4/8/6/3/6/1/8/43816368_800_800.jpg' /><noscript><img loading='lazy' src='/800/600/http/s.mxmcdn.net/images-storage/albums4/8/6/3/6/1/8/43816368_800_800.jpg' /></noscript></li><li> <var> пункт назначения запроса </var> не "<code> изображение </code>", <code> аудио </code>", или "<code> видео </code>".</li><li> <var> запрос </var> пункт назначения "<code> изображение </code>" а инициатором запроса <var> </var> является «<code> imageset </code>».</li></ol></li><li> Если <var> запрашивает </var>, схема URL-адреса <code> http </code> , установите схему URL-адреса <var> запроса </var> на <code> https </code> и вернитесь.<p role="note"> Примечание. Для [url] мы не изменяем порт, поскольку он будет установлен в значение null, когда схема <code> http </code> и интерпретируется как 443 после изменения схемы на <code> https </code></p></li></ol><h4 data-level="4.2"><span class="ez-toc-section" id="42"> 4.2. Модификации предыдущих алгоритмов </span></h4><p role="note"> Примечание. Этот раздел включает модификации алгоритмов в более ранних версиях. версии спецификации — игнорировать различие между необязательно блокируемым и блокируемым смешанным контентом, поскольку все необязательно блокируемый смешанный контент теперь обновляется автоматически.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i0.wp.com/hosteko.com/htk-blog/wp-content/uploads/2021/07/Pengertian-Fungsi-Dan-Contoh-Marketing-Mix-768x432.png?resize=650,400' /><noscript><img loading='lazy' src='/800/600/http/i0.wp.com/hosteko.com/htk-blog/wp-content/uploads/2021/07/Pengertian-Fungsi-Dan-Contoh-Marketing-Mix-768x432.png?resize=650,400' /></noscript></p><h4 data-level="4.3"><span class="ez-toc-section" id="43"> 4.3. Есть ли настройки </span></h4><var> </var> запретить смешанные контексты безопасности?</h4><p> И документы, и работники имеют объекты параметров среды, которые можно исследовать по следующему алгоритму, чтобы определить ограничивают ли они смешанный контент. Этот алгоритм возвращает «<code> Запрещает смешанные контексты безопасности </code>» или «<code> Не запрещает смешанные контексты безопасности </code>», по мере необходимости.</p><p> Учитывая объект настроек среды ( <var> настройки </var> ):</p><ol><li data-md=""><p> Если <var> настройки </var> ’ источник является потенциально надежным источником, то возврат «<code> запрещает смешанные контексты безопасности </code>».</p></li><li data-md=""><p> Если <var> в настройках </var> есть ответственный документ <var> документ </var> , то:</p><ol><li data-md=""><p> Хотя <var> документ </var> имеет встроенный документ:</p><ol><li data-md=""><p> Установите документ <var> </var> в документ <var> документа </var> для встраивания.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/pickandmixms.co.uk/wp-content/uploads/2018/06/bigstock-Multiethnic-People-with-Startu-64735957-1024x692.jpg' /><noscript><img loading='lazy' src='/800/600/http/pickandmixms.co.uk/wp-content/uploads/2018/06/bigstock-Multiethnic-People-with-Startu-64735957-1024x692.jpg' /></noscript></p></li><li data-md=""><p> Пусть <var> настроек встраивания </var> будет <var> соответствующим объектом настроек документа </var>.</p></li><li data-md=""><p> Если <var> настройки встраивания </var> ’ источник является потенциально надежным источником, то возврат «<code> запрещает смешанные контексты безопасности </code>».</p></li></ol></li></ol></li><li data-md=""><p> Вернуть «<code> Не ограничивает смешанные контексты безопасности </code>».</p></li></ol><p data-readability-styled="true"> Если документ имеет встроенный документ, пользовательский агент должен проверить не только сам документ, но и просмотр верхнего уровня контекст, в который вложен документ, так как это контекст который контролирует ожидания пользователя относительно состояния безопасности ресурс, который она загружает. Например:</p><p data-readability-styled="true"> <code> http://a.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/myeconomicstoday.com/wp-content/uploads/2020/03/1-96-1.jpg' /><noscript><img loading='lazy' src='/800/600/http/myeconomicstoday.com/wp-content/uploads/2020/03/1-96-1.jpg' /></noscript> com </code> загружает <code> http://evil.com </code> . небезопасный запрос будет разрешен, как <code> a.com </code> не был загружен по защищенному соединению.</p><p data-readability-styled="true"> <code> https://a.com </code> загружает <code> http://evil.com </code> . небезопасный запрос будет заблокирован, так как <code> a.com </code> был загружен через безопасное соединение.</p><p data-readability-styled="true"> <code> http://a.com </code> кадры <code> https://b.com </code> , которые загружает <code> http://evil.com </code> . В этом случае небезопасный запрос на <code> evil.com </code> будет заблокирован, так как <code> b.com </code> был загружается через защищенное соединение, хотя <code> a.com </code> не было.</p><p data-readability-styled="true"> <code> https://a.com </code> фреймы <code> data: </code> URL, который загружает <code> http://evil.com </code> . В этом случае небезопасный запрос на <code> evil.com </code> будет заблокирован, так как <code> a.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/seosly.com/wp-content/uploads/2021/02/google-page-experience-audit-mixed-content-768x418.jpg' /><noscript><img loading='lazy' src='/800/600/http/seosly.com/wp-content/uploads/2021/02/google-page-experience-audit-mixed-content-768x418.jpg' /></noscript> com </code> был загружен по безопасному соединению, даже несмотря на то, что в рамке <code> data: </code> URL не будет блокировать смешанный контент, если он загружен в контексте верхнего уровня.</p><h4 data-dfn-type="dfn" data-export="" data-level="4.4" data-lt="Should fetching request be blocked as mixed content?"><span class="ez-toc-section" id="44"> 4.4. Должен ли запрос </span></h4></var> на получение <var> блокироваться как смешанный контент?</h4><p role="note"> Примечание. Спецификация Fetch подключается к этому алгоритму, чтобы определить, запрос должен быть полностью заблокирован (например, потому что запрос относится к блокируемому контенту, и мы можем <em> предположить, </em> что он не будет загружается через защищенное соединение).</p><p> Учитывая запрос Request <var> request </var>, пользовательский агент определяет должен ли запрос <var> запрос </var> выполняться или нет через следующий алгоритм:</p><ol><li> Возврат <strong> разрешено </strong>, если один или несколько из следующих выполняются условия:<ol><li> §4.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/impuls-web.ru/wp-content/uploads/2017/03/https-fix4.jpg' /><noscript><img loading='lazy' src='/800/600/http/impuls-web.ru/wp-content/uploads/2017/03/https-fix4.jpg' /></noscript> 3 Запрещают ли настройки смешанные контексты безопасности? возвращает «<code> Не ограничивает смешанные контексты безопасности </code>» при применении к клиенту <var> запроса </var>.</li><li> <var> URL-адрес запроса </var> является потенциально надежным URL-адресом.</li><li> Пользовательский агент получил указание разрешить смешанный контент, т.к. описано в §7.2 Пользовательские элементы управления).</li><li> <var> запрос </var> пункт назначения «<code> документ </code>» и <var> запрос </var> целевой просмотр context не имеет родительского контекста просмотра.<p role="note"> Примечание. Мы исключаем переходы верхнего уровня из проверок смешанного содержимого, но пользовательские агенты МОГУТ выбрать принудительную проверку смешанного содержимого на небезопасная отправка формы (см. §7.1 Отправка формы).</p></li></ol></li><li> Возврат <strong> заблокирован </strong> .<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/2.bp.blogspot.com/-BaSKGEACst0/V6GPE6OzfdI/AAAAAAAAGzM/leX-SnoLAZU0NxnhjClV1K3GY65t5gBSwCLcB/s640/Mengatasi%2BMixed%2BContent%2Bhttps%2Bdi%2BBlogger.png' /><noscript><img loading='lazy' src='/800/600/http/2.bp.blogspot.com/-BaSKGEACst0/V6GPE6OzfdI/AAAAAAAAGzM/leX-SnoLAZU0NxnhjClV1K3GY65t5gBSwCLcB/s640/Mengatasi%2BMixed%2BContent%2Bhttps%2Bdi%2BBlogger.png' /></noscript></li></ol><h4 data-dfn-type="dfn" data-export="" data-level="4.5" data-lt="Should response to request be blocked as mixed content?"><span class="ez-toc-section" id="45"> 4.5. Следует ли блокировать ответ </span></h4><var> </var> на запрос <var> </var> как смешанный содержание?</h4><p role="note"> Примечание. Если запрос продолжается, мы по-прежнему может захотеть заблокировать ответ в зависимости от состояния соединения который сгенерировал ответ (например, потому что запрос может быть заблокирован, но соединение не аутентифицировано), и нам также необходимо обеспечить что Service Worker случайно не вернет неаутентифицированный ответ на блокируемый запрос. Этот алгоритм используется для создания эта решимость.</p><p> При наличии запроса <var> запроса </var> и ответа <var> ответа </var> пользовательский агент определяет, какой ответ должен быть возвращается по следующему алгоритму:</p><ol><li> Вернуть <strong> разрешено </strong>, если одно или несколько из следующих выполняются условия:<ol><li> §4.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/static.wixstatic.com/media/d2e9d0_9d4a6f99fa8a4faa86814413b2811950.jpeg' /><noscript><img loading='lazy' src='/800/600/http/static.wixstatic.com/media/d2e9d0_9d4a6f99fa8a4faa86814413b2811950.jpeg' /></noscript> 3 Запрещают ли настройки смешанные контексты безопасности? возвращает <code> Не ограничивает Смешанное содержимое </code> при применении к клиенту <var> запроса </var>.</li><li> <var> URL-адрес ответа </var> является потенциально надежным URL-адресом.</li><li> Пользовательский агент получил указание разрешить смешанный контент, т.к. описано в §7.2 Пользовательские элементы управления).</li><li> <var> запрос </var> пункт назначения «<code> документ </code>» и <var> запрос </var> целевой просмотр context не имеет родительского контекста просмотра.<p role="note"> Примечание. Мы исключаем переходы верхнего уровня из проверок смешанного содержимого, но пользовательские агенты МОГУТ выбрать принудительную проверку смешанного содержимого на небезопасная отправка формы (см. §7.1 Отправка формы).</p></li></ol></li><li> Возврат <strong> заблокирован </strong> .<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/seo.london/wp-content/uploads/2022/03/What-is-Mixed-Content.png' /><noscript><img loading='lazy' src='/800/600/http/seo.london/wp-content/uploads/2022/03/What-is-Mixed-Content.png' /></noscript></li></ol><h3 data-level="5"><span class="ez-toc-section" id="5"> 5. Интеграция </span></h3><h4 data-level="5.1"><span class="ez-toc-section" id="51_Fetch"> 5.1. Модификации Fetch </span></h4><p> <cite> Fetch Standard </cite> §4.1 Основная выборка должна быть изменена для вызова §4.1 Обновить запрос смешанного содержимого до потенциально надежного URL-адреса, если это применимо, в запросе <var> </var> между шагами 3 и 4. То есть обновляемый смешанный контент должен автоматически обновляться до HTTPS перед применением блокировки смешанного контента.</p><h4 data-level="5.2"><span class="ez-toc-section" id="52_HTML"> 5.2. Изменения в HTML </span></h4><p> Обработка ответа навигации должна быть изменена следующим образом. Шаг 3 должен прервать загрузку и вернуть, если <var> URL-адрес активного документа источника </var> является потенциально заслуживающим доверия URL-адресом и любым URL-адресом в ответе <var> список URL-адресов </var> не является потенциально заслуживающим доверия URL-адресом.</p><p> Аналогичное изменение необходимо внести для загрузки гиперссылки. В этом алгоритме шаг 6.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/img.youtube.com/vi/zBsr39op5a4/0.jpg' /><noscript><img loading='lazy' src='/800/600/http/img.youtube.com/vi/zBsr39op5a4/0.jpg' /></noscript> 2 следует изменить, чтобы вернуться (прервать загрузку), если <var> тема </var> узел URL-адрес документа является потенциально надежным URL-адресом и любой URL-адрес в списке URL-адресов ответа <var> </var> не является потенциально надежным URL-адресом (где ответ <var> </var> является результатом получение <var> запроса </var> ).</p><p role="note"> Примечание. Загрузки не обновляются автоматически, как другие типы смешанного содержимого, поскольку агент пользователя не всегда знает перед запросом ресурса, что он будет загружен.</p><p role="note"> Примечание. Ресурсы загружаются до того, как пользовательский агент решит, следует ли прервать их на основе небезопасное соединение. Таким образом, конфиденциальная информация может передаваться по сети, даже если пользователь агент в конечном итоге блокирует загрузку. Как правило, это неизбежно, поскольку пользовательский агент не может знать, что ресурс должен быть загружен до тех пор, пока он не получит окончательный ответ, но заблокировав ресурс, пользовательские агенты будут поощрять операторов веб-сайтов обслуживать загрузки по защищенным соединениям.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/pixelbell.com/wp-content/uploads/2015/04/1.tab-jquery-plugin.jpg' /><noscript><img loading='lazy' src='/800/600/http/pixelbell.com/wp-content/uploads/2015/04/1.tab-jquery-plugin.jpg' /></noscript></p><h3 data-level="6"><span class="ez-toc-section" id="6-2"> 6. Устаревание </span></h3><h4 data-level="6.1"><span class="ez-toc-section" id="61"> 6.1. </span></h4><code> Строгая проверка смешанного содержимого </code></h4><p> Более ранняя версия этой спецификации определяла директиву CSP <code> block-all-mixed-content </code>. Сейчас это устарело, потому что весь смешанный контент теперь блокируется, если его нельзя обновить автоматически.</p><p role="note"> Примечание. Директива <code> upgrade-insecure-requests </code> ([upgrade-insecure-requests]) не устарело, поскольку позволяет разработчикам обновлять блокируемый контент. Только эта спецификация обновляет обновляемый контент по умолчанию.</p><h3 data-level="7"><span class="ez-toc-section" id="7"> 7. Вопросы безопасности и конфиденциальности </span></h3><p> В целом ожидается, что автоматическое обновление обновляемого смешанного содержимого будет обеспечивать безопасность и безопасность. конфиденциальность, защищая больше пользовательского трафика от сетевого прослушивания и несанкционированного доступа.</p><p> Существует риск возникновения проблемы безопасности или конфиденциальности на веб-странице при загрузке ресурса, который разработчик не собирался.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/interstellarng.com/wp-content/uploads/2020/04/Capture-VIII-3.png' /><noscript><img loading='lazy' src='/800/600/http/interstellarng.com/wp-content/uploads/2020/04/Capture-VIII-3.png' /></noscript> Например, предположим, что на веб-сайте размещено безобидное изображение. из <code> http://www.example.com/image.jpg </code> , а для некоторых причина <code> https://www.example.com/image.jpg </code> перенаправляет на сайт отслеживания. Браузер теперь будет введена проблема конфиденциальности без явного разрешения разработчика или пользователя согласие. Однако ожидается, что такие случаи будут чрезвычайно редкими. Риск снижается за счет автоматическое обновление только обновляемого контента, а не блокируемого контента. Блокируемый контент может представлять больший риск, например, риск загрузки устаревшего и уязвимого кода JavaScript. библиотека.</p><h4 data-level="7.1"><span class="ez-toc-section" id="71"> 7.1. Отправка формы </span></h4><p> Если §4.3 Запрещают ли настройки смешанные контексты безопасности? возвращает <code> Restricts Mixed Content </code> при применении к соответствующему объекту настроек <code> Document </code> , тогда пользовательский агент МОЖЕТ выбрать предупреждение пользователей о наличие одного или нескольких <code> элементов формы </code> с атрибутами действия, чьи значения не являются потенциально надежными URL-адресами.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/img.youtube.com/vi/fnE7SIpwL3Q/0.jpg' /><noscript><img loading='lazy' src='/800/600/http/img.youtube.com/vi/fnE7SIpwL3Q/0.jpg' /></noscript></p><p> Пользовательский агент МОЖЕТ выбрать предупреждение пользователей при отправке формы <code> 9Элемент 0023 с атрибутами действия, значения которых не являются потенциально надежными URL-адресами. и разрешить пользователям прерывать отправку. Если пользовательский агент предупреждает об элементе формы <code> </code> отправки на потенциально ненадежные URL-адреса, он ДОЛЖЕН также предупреждать и разрешать пользователям прервать отправку, если при отправке действие элемента формы <code> формы </code> перенаправляется на потенциально ненадежный URL-адрес, раскрывающий информацию формы <code> </code>.</p><p> Кроме того, пользовательский агент МОЖЕТ обрабатывать отправку формы из такого <code> Документ </code> как блокируемый запрос, даже если отправка происходит в контексте просмотра верхнего уровня.</p><h4 data-level="7.2"><span class="ez-toc-section" id="72"> 7.2. Пользовательские элементы управления </span></h4> Пользовательский агент МОЖЕТ предлагать пользователям возможность отменить свое решение о блокировании блокируемого смешанного контента на определенной странице.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.pinimg.com/originals/aa/84/d3/aa84d32eee671d2700ab46f95c6e3543.png' /><noscript><img loading='lazy' src='/800/600/http/i.pinimg.com/originals/aa/84/d3/aa84d32eee671d2700ab46f95c6e3543.png' /></noscript><p role="note"> Примечание. На практике пользовательский агент, вероятно, не может обойтись без предложения такая задняя дверь. Тем не менее, разрешение смешанных сценариев, в частности, очень опасная опция, и каждый пользовательский агент ДЕЙСТВИТЕЛЬНО НЕ ДОЛЖЕН [RFC6919] предоставляют такой выбор пользователям без тщательного рассмотрения и информирование о связанном с этим риске.</p><p> Пользовательский агент МОЖЕТ предлагать пользователям возможность отменить свое решение автоматически обновлять обновляемый смешанный контент на конкретная страница.</p><p> Любые такие элементы управления, предлагаемые пользовательским агентом, ДОЛЖНЫ также предлагаться через API доступности для пользователей вспомогательных технологий.</p><h3 data-level="8"><span class="ez-toc-section" id="8"> 8. Благодарности </span></h3><p> В дополнение к замечательным отзывам, полученным от рабочей группы WebAppSec, Команда безопасности Chrome оказала неоценимую помощь при подготовке этой спецификации.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/smashdigital.com/wp-content/uploads/2016/03/process-for-creating-content.gif' /><noscript><img loading='lazy' src='/800/600/http/smashdigital.com/wp-content/uploads/2016/03/process-for-creating-content.gif' /></noscript> В в частности, Крис Палмер, Крис Эванс, Райан Сливи, Михал Залевски, Кен Бьюкенен и Том Сепес дали много первых отзывов. Энн ван Кестерен объяснил Fetch, помог определить интерфейс для этой спецификации, и предоставил ценные отзывы об обновлении уровня 2. Брайан Смит помог сохранить сфокусированность, аккуратность и разумность спецификации.</p><p> Требования соответствия выражаются комбинацией описательные утверждения и терминология RFC 2119. Ключевые слова «ОБЯЗАТЕЛЬНО», «НЕ ДОЛЖЕН», «ТРЕБУЕТСЯ», «ДОЛЖЕН», «НЕ ДОЛЖЕН», «ДОЛЖЕН», «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «ДОПОЛНИТЕЛЬНО» в нормативных частях настоящего document должны интерпретироваться, как описано в RFC 2119. Однако для удобства чтения эти слова не отображаются в верхнем регистре. буквы в этой спецификации.</p><p> Весь текст данной спецификации является нормативным, за исключением разделов явно помечены как ненормативные, примеры и примечания. [RFC2119]</p><p> Примеры в этой спецификации вводятся словами «например» или отделены от нормативного текста с помощью <code> class="example" </code> , следующим образом:</p><p> Информационные примечания начинаются со слова «Примечание» и отделяются от нормативный текст с <code> class="note" </code> , например:</p><p> Требования, сформулированные в императиве как часть алгоритмов (например, «удалить все начальные пробелы» или «вернуть false и прервать эти шагов") следует интерпретировать со значением ключевого слова ("должен", «должен», «может» и т.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/3.bp.blogspot.com/-_z_dmlE15wY/XN1WUat5JEI/AAAAAAAAEeI/LhgF_LzxzGQ2VSjayAQn1MQs-SG0BiVcgCEwYBhgL/s1600/Screenshot_7.png' /><noscript><img loading='lazy' src='/800/600/http/3.bp.blogspot.com/-_z_dmlE15wY/XN1WUat5JEI/AAAAAAAAEeI/LhgF_LzxzGQ2VSjayAQn1MQs-SG0BiVcgCEwYBhgL/s1600/Screenshot_7.png' /></noscript> д.), используемые при введении алгоритма.</p><p> Требования соответствия, выраженные в виде алгоритмов или конкретных шагов, могут реализованы любым образом, пока конечный результат эквивалентен. В в частности, алгоритмы, определенные в этой спецификации, предназначены для быть простыми для понимания и не предназначены для выполнения. Исполнители рекомендуется оптимизировать.</p><h2><span class="ez-toc-section" id="_WordPress_HTTPSSSL"> Как быстро исправить предупреждения WordPress о смешанном содержимом (HTTPS/SSL) </span></h2><p> Запуск вашего сайта WordPress через HTTPS больше не является обязательным. Это не только более безопасно (все зашифровано, ничего не передается в виде простого текста), но и вызывает доверие, является фактором ранжирования в поисковых системах и предоставляет более точные реферальные данные. К сожалению, при переходе с HTTP на HTTPS владельцы веб-сайтов могут столкнуться с рядом проблем. Одно из них — «предупреждения о смешанном содержании».</p><p> Проблемы с производительностью, связанные с шифрованием, были устранены по большей части благодаря HTTP/2, а Let’s Encrypt изменил всю отрасль, предоставив вам простой способ получить бесплатные сертификаты SSL.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.ytimg.com/vi/JK59skdYrPw/hqdefault.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.ytimg.com/vi/JK59skdYrPw/hqdefault.jpg' /></noscript></p><p> Что наиболее важно для онлайн-бизнеса, такие веб-браузеры, как Google Chrome и Mozilla Firefox, блокируют сайты, работающие не по протоколу HTTPS, и показывают потенциальным посетителям более строгие предупреждения. Например, если вы используете устаревшие версии TLS, вы можете столкнуться с уведомлениями ERR_SSL_OBSOLETE_VERSION в Chrome. Предупреждения — это последнее, что вы хотите, чтобы ваши посетители видели.</p><p> Чтобы помочь вам избежать этих проблем, у нас есть подробное руководство по переходу с HTTP на HTTPS. Однако после выполнения этого процесса вы все еще можете видеть предупреждения о смешанном содержании.</p><p> Сегодня мы покажем вам несколько способов исправить эту проблему на вашем сайте WordPress.</p><h4><span class="ez-toc-section" id="i-26"> Предпочитаете смотреть видеоверсию? </span></h4><h3><span class="ez-toc-section" id="i-27"> Что такое предупреждение о смешанном содержимом? </span></h3><p> Предупреждение о смешанном содержимом появляется в браузере пользователя, когда сайт WordPress, который он пытается посетить, одновременно загружает HTTPS- и HTTP-скрипты или контент.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.ytimg.com/vi/OKp0YtQVJt4/hqdefault.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.ytimg.com/vi/OKp0YtQVJt4/hqdefault.jpg' /></noscript> Это может вызвать проблемы, поскольку HTTP и HTTPS — совершенно разные протоколы.</p><p> При переходе на HTTPS все должно работать по этому протоколу, включая ваши изображения, файлы JavaScript и т. д. Ниже приведены несколько примеров того, что может произойти, если часть вашего контента по-прежнему загружается через HTTP.</p><h4><span class="ez-toc-section" id="i-28"> Примеры предупреждений о смешанном содержимом </span></h4><p> В настоящее время Chrome является самым популярным браузером, которым пользуются более 77% пользователей Интернета. Таким образом, большинство ваших посетителей увидят следующее предупреждение:</p> Предупреждение о смешанном содержании в Google Chrome<p> Конечно, не все используют Chrome.</p><p> Вот пример того, что происходит в Firefox, когда на сайте WordPress отображается предупреждение о смешанном содержимом:</p> Предупреждение о смешанном содержимом в Firefox<p> Далее приведен пример того, как это предупреждение выглядит в Microsoft Edge:</p> Предупреждение о смешанном содержимом в Microsoft Edge<p> А вот как это отображается в Internet Explorer:</p> Предупреждение Internet Explorer о смешанном содержимом<p> Как видите, Internet Explorer, вероятно, является одним из худших мест для появления этого предупреждения, потому что он фактически прерывает отображение страницы до тех пор, пока всплывающее окно нажимается.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.pinimg.com/originals/34/a6/27/34a6277bc223191f0df30ca8a64f9d26.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.pinimg.com/originals/34/a6/27/34a6277bc223191f0df30ca8a64f9d26.jpg' /></noscript></p><p> Это не ошибка, которую должны видеть посетители любого браузера. Это можно исправить, но сначала вам нужно понять, почему это происходит.</p><p> Запуск вашего сайта WordPress через HTTPS больше не является обязательным. ✅ Но при переходе с HTTP ➡️ HTTPS может сопровождаться предупреждениями о смешанном содержании. Узнайте, как быстро решить их с помощью этого руководства 💥Нажмите, чтобы твитнуть <br/></p><h3><span class="ez-toc-section" id="i-29"> Что вызывает предупреждения о смешанном содержании? </span></h3><p> Мы обнаружили, что наиболее распространенные предупреждения о смешанном содержании появляются сразу после того, как кто-то переносит свой сайт WordPress с HTTP на HTTPS. Некоторые HTTP-ссылки просто переносятся, и это приводит к срабатыванию предупреждений о смешанном содержимом.</p><p> Вот еще несколько причин появления этого предупреждения:</p><ul><li> Вы только что добавили новую услугу или плагин на свой сайт. В частности, разработчики иногда используют абсолютные пути (<em> http://yourdomain.com/style.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/cdn.searchenginejournal.com/wp-content/uploads/2018/12/SEMrush-Site-Audit-AMP-Checking.png' /><noscript><img loading='lazy' src='/800/600/http/cdn.searchenginejournal.com/wp-content/uploads/2018/12/SEMrush-Site-Audit-AMP-Checking.png' /></noscript> css </em>) в своих плагинах или темах для ссылки на CSS и JavaScript вместо использования относительных путей (<em>/style.css </em>).</li><li> Ваши изображения имеют жестко заданные URL-адреса (например, <em> http://yourdomain.com/image.png </em> ), которые работают по протоколу HTTP. Это могут быть посты, страницы или даже виджеты.</li><li> Вы ссылаетесь на HTTP-версии внешних скриптов (размещенных jQuery, Font Awesome и т. д.).</li><li> У вас есть встроенные видеоскрипты, использующие HTTP вместо HTTPS.</li></ul><p> К сожалению, вы не сможете обнаружить настоящий источник проблемы, пока не начнете устранение неполадок.</p><p> Имея это в виду, давайте рассмотрим некоторые методы, которые можно использовать для исправления предупреждений о смешанном содержимом.</p><h3><span class="ez-toc-section" id="_4"> Как исправить предупреждения о смешанном содержимом (4 шага) </span></h3><p> Вы можете выполнить четыре простых шага ниже, чтобы исправить предупреждения о смешанном содержимом WordPress. Этот процесс предполагает, что вы уже сделали следующее:</p><ul><li> Установлен сертификат SSL</li><li> HTTPS перенаправлен на HTTPS (для всего сайта)</li></ul><p> В следующих примерах мы будем использовать пример сайта разработки.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.pinimg.com/originals/c2/fc/6c/c2fc6cb884b686dcd3f166d5d1fbccdf.png' /><noscript><img loading='lazy' src='/800/600/http/i.pinimg.com/originals/c2/fc/6c/c2fc6cb884b686dcd3f166d5d1fbccdf.png' /></noscript></p><h4><span class="ez-toc-section" id="_1_HTTP"> Шаг 1. Узнайте, какие ресурсы загружаются через HTTP </span></h4><p> Первое, что вам нужно сделать, это выяснить, какие ресурсы все еще загружаются через HTTP.</p><p> Помните, что эти предупреждения могут появляться только в определенных областях вашего сайта, а не глобально. Перейдите на страницу, которая вызывает предупреждение, и запустите Chrome DevTools, нажав:</p><ul><li> <strong> Windows: </strong> F12 или CTRL + Shift + I</li><li> <strong> macOS : </strong> Cmd + Opt + I</li></ul><p> Вы также можете открыть Chrome DevTools из меню инструментов вашего браузера:</p> Инструменты разработчика Chrome в меню инструментов браузера<p> Есть несколько мест, где вы можете проверить, какие ресурсы не загружаются через HTTPS.</p><p> Первая — вкладка <strong> Консоль </strong> . Обратите внимание, что вам может потребоваться обновить страницу после того, как вы откроете Chrome DevTools, чтобы она правильно загрузила все.</p><p> Если присутствуют ошибки смешанного содержимого, они будут выделены красным или желтым цветом.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.stack.imgur.com/LqYSA.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.stack.imgur.com/LqYSA.jpg' /></noscript> Как правило, они сопровождаются информацией, поясняющей, что «Этот запрос был заблокирован; контент должен передаваться через HTTPS». Это означает, что настройки браузера настроены на автоматическую блокировку любого HTTP-контента.</p><p> Стремясь обеспечить загрузку страниц только через HTTPS, Chrome начал блокировать смешанный контент по умолчанию с Chrome 79. Совсем недавно они развернули функции, чтобы начать автоматическое обновление смешанных изображений и мультимедиа.</p><p> Таким образом, при использовании Chrome DevTools вы можете увидеть сообщения со смешанным содержимым, указывающие на то, что некоторые запрошенные элементы были автоматически обновлены:</p> Chrome DevTools смешанное содержимое в консоли<p> Здесь мы можем ясно видеть, что существует множество небезопасных элементов, вызывающих предупреждения о смешанном содержимом , включая таблицу стилей и сценарий.</p><p> Вы также заметите, что был сделан запрос на небезопасное изображение .jpg, которое было автоматически обновлено до HTTPS.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/img.youtube.com/vi/0bZvLGdtQdI/0.jpg' /><noscript><img loading='lazy' src='/800/600/http/img.youtube.com/vi/0bZvLGdtQdI/0.jpg' /></noscript> (Примечание: если бы это было в другом браузере, отличном от Chrome, оно не было бы автоматически обновлено).</p><p> Вы также можете просмотреть вкладку <strong> Security </strong> в Chrome DevTools. Это покажет вам все незащищенные источники:</p> Безопасность Chrome DevTools<p> На вкладке <strong> Сеть </strong> вы также можете найти список заблокированных запросов:</p> Сеть Chrome DevTools<p> Если вы не используете Chrome или просто хотите краткий обзор ошибок, вы также можете использовать бесплатный инструмент, такой как Why No Padlock.</p><p> Сканирует отдельную страницу и показывает все незащищенные ресурсы:</p> Почему нет замка, сводка ошибок смешанного содержимого<p> Этот инструмент прост в использовании. Вы можете просто ввести свой URL-адрес и щелкнуть <strong> Test Page </strong>, и он покажет вам все присутствующие ошибки. Кроме того, это бесплатно!</p><h5><span class="ez-toc-section" id="_HTTPS-2"> Массовая проверка предупреждений HTTPS </span></h5><p> Если вас беспокоит остальная часть вашего сайта, вы можете проверить ее массово.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/media.threatpost.com/wp-content/uploads/sites/103/2013/08/07043059/mixedcontent.jpg' /><noscript><img loading='lazy' src='/800/600/http/media.threatpost.com/wp-content/uploads/sites/103/2013/08/07043059/mixedcontent.jpg' /></noscript> Вот несколько рекомендуемых вариантов для этого:</p><p><h3><span class="ez-toc-section" id="i-30"> Подпишитесь на информационный бюллетень </span></h3></p><h4><span class="ez-toc-section" id="_1000"> Хотите узнать, как мы увеличили трафик более чем на 1000%? </span></h4><p> Присоединяйтесь к более чем 20 000 других людей, которые получают нашу еженедельную рассылку с советами по WordPress, посвященными инсайдерской информации!</p><p data-readability-styled="true"> Подпишитесь сейчас</p><ul><li> Существует небольшой бесплатный инструмент под названием SSL Check от JitBit, который вы можете использовать для сканирования вашего HTTPS-сайта и поиска небезопасных изображений и сценариев, которые будут вызывать предупреждающее сообщение в браузерах. Количество просканированных страниц ограничено 400 на сайт.</li><li> Инструмент аудита сайта Ahrefs может обнаруживать смешанный контент HTTPS/HTTP. Если у вас уже есть доступ к этому решению или он есть у кого-то из вашей маркетинговой команды, это может быть отличным способом тщательной проверки.</li><li> HTTPS Checker — это настольное программное обеспечение, которое вы можете установить для сканирования вашего сайта.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/ghacks.net/wp-content/uploads/2019/11/insecure-content-block.png' /><noscript><img loading='lazy' src='/800/600/http/ghacks.net/wp-content/uploads/2019/11/insecure-content-block.png' /></noscript> Это может помочь вам проверить наличие «небезопасных» предупреждений и содержимого после больших изменений. Он доступен для Windows, Mac и Ubuntu. Бесплатный план позволяет проверять до 500 страниц за одно сканирование.</li><li> SSL Insecure Content Fixer – это подключаемый модуль WordPress, который вы можете установить на свой сайт, чтобы обнаруживать ошибки, приводящие к предупреждениям о смешанном содержании. Его можно использовать бесплатно, и он даже автоматически выполняет исправления для устранения ошибок.</li></ul><p> Использование любого из вышеперечисленных инструментов может помочь вам сэкономить время по сравнению с ручной проверкой каждой страницы вашего сайта на наличие предупреждений и ошибок смешанного содержимого. Для тщательной оценки потенциальных ошибок на вашем сайте вы можете рассмотреть возможность использования комбинации этих решений.</p><h4><span class="ez-toc-section" id="_2_HTTP_HTTPS"> Шаг 2. Проверка доступности ресурсов HTTP по HTTPS </span></h4><p> Следующим шагом является подтверждение того, что ресурсы, загружаемые по HTTP, доступны по HTTPS.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/2.bp.blogspot.com/-QJIn_gYm93A/V20HIgY23nI/AAAAAAAAA64/saZJ2zaPEeg-EwUh7V7mBTSUnun3uDuVwCLcB/w1200-h630-p-k-no-nu/active-mixed-content-errors.png' /><noscript><img loading='lazy' src='/800/600/http/2.bp.blogspot.com/-QJIn_gYm93A/V20HIgY23nI/AAAAAAAAA64/saZJ2zaPEeg-EwUh7V7mBTSUnun3uDuVwCLcB/w1200-h630-p-k-no-nu/active-mixed-content-errors.png' /></noscript> Они, скорее всего, есть, нужно просто обновить ссылки.</p><p> В качестве примера предположим, что наши ошибки смешанного содержимого указывают на следующий небезопасный скрипт jQuery и изображение .jpg:</p><ul><li> http://ajax.googleapis.com/ajax/libs/jquery/3.31/jquery.min.js</li><li> http://example-site.com/wp-content/50d00acf6e4%2Fpuppy-thumb.jpg?v=1600261043278</li></ul><p> Если мы возьмем оба этих URL-адреса, введем их в адресную строку нашего браузера и заменим «http» на «https» в начале, мы увидим, что они загружаются нормально. Поэтому нам просто нужно выполнить поиск и замену на нашем сайте. <br/></p><h4><span class="ez-toc-section" id="_3_WordPress"> Шаг 3. Выполните поиск и замену в WordPress </span></h4><p> Существует множество способов выполнить поиск и замену в WordPress. В этом разделе мы познакомим вас с двумя различными рекомендуемыми вариантами.</p><p> Если вам интересно, мы не рекомендуем использовать такой инструмент, как Really Simple SSL. Хотя это отличный плагин, лучше не полагаться на такое решение в долгосрочной перспективе.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/wp-dd.com/wp-content/uploads/how-to-fix-insecure-content-mixed-content-error-in-wordpress.png' /><noscript><img loading='lazy' src='/800/600/http/wp-dd.com/wp-content/uploads/how-to-fix-insecure-content-mixed-content-error-in-wordpress.png' /></noscript> Вы не будете возвращаться к HTTP позже, поэтому лучше сделать это правильно и обновить URL-адреса HTTP в своей базе данных (как мы покажем вам ниже).</p><p> Если вы являетесь клиентом Kinsta, вы можете использовать наш инструмент поиска и замены, который доступен прямо на панели управления MyKinsta.</p><p> Перейдите на страницу <strong> Инструменты </strong> вашего сайта и нажмите <strong> Поиск и замена </strong> :</p> Инструмент поиска и замены в MyKinsta<p> Затем в поле поиска введите значение, которое вы хотите найти в базе данных.</p><p> В этом случае мы будем использовать наш HTTP-домен: <em> http://kinstalife.com </em> . Затем нажмите кнопку <strong> Search </strong> . Инструмент поиска и замены покажет количество вхождений данной строки.</p><p> Установите флажок <strong> Заменить </strong> , чтобы продолжить процесс замены. В поле <strong> Заменить на </strong> введите то, что должно заменить искомое значение. В этом случае мы будем использовать наш HTTPS-домен: <em> https://kinstalife.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/img.youtube.com/vi/jGX9pTyx1b0/0.jpg' /><noscript><img loading='lazy' src='/800/600/http/img.youtube.com/vi/jGX9pTyx1b0/0.jpg' /></noscript> com </em>.</p><p> Мы также рекомендуем установить флажок <strong> Очистить кеш при готовности </strong>, чтобы автоматически очищать кеш Kinsta после завершения процесса поиска и замены. Наконец, нажмите кнопку <strong> Заменить </strong> :</p> Поиск и замена HTTP на HTTPS в MyKinsta<p> <strong> Важно: </strong> Убедитесь, что вы не включаете начальные/конечные пробелы ни в одном из этих полей, так как это может привести к нежелательным результатам.</p><h5><span class="ez-toc-section" id="i-31"> Поиск и замена альтернатив </span></h5><p> Если вы не используете Kinsta, вы можете выполнить ту же задачу с помощью бесплатного плагина Better Search Replace , а затем просто удалить его после того, как закончите:</p> Плагин Better Search Replace WordPress<p> Вы Вы можете загрузить этот инструмент из каталога плагинов WordPress или найти его на панели управления WordPress.</p><p> После активации просто найдите свой домен HTTP (<em> http://yourdomain.com </em>) и замените его своим доменом HTTPS (<em> https://yourdomain.com </em>):</p> Лучший поиск Замените параметры плагина WordPress<p> В качестве альтернативы вы также можете выполнить поиск и замену с помощью PHP-скрипта interconnect/it Search Replace DB или WP-CLI.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.ytimg.com/vi/i8AU9s89zwg/hqdefault.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.ytimg.com/vi/i8AU9s89zwg/hqdefault.jpg' /></noscript></p><p> <strong> Посмотрите наше видео, чтобы узнать больше об использовании поиска и замены в WordPress: </strong></p><h4><span class="ez-toc-section" id="_4-2"> Шаг 4. Убедитесь, что предупреждения о смешанном содержимом больше не отображаются </span></h4><p> После того, как вы закончите поиск и замену, вы захотите <strong> перепроверить свой сайт </strong>, чтобы убедиться, что предупреждения о смешанном содержании исчезли. Мы рекомендуем посетить ваш сайт в интерфейсе и щелкнуть несколько страниц, глядя на индикатор состояния браузера вверху в адресной строке.</p><p> На нашем сайте мы видим, что изображение .jpg теперь исправлено, но предупреждение о небезопасном сценарии остается.</p><p> Это потому, что мы выполнили поиск и замену ресурсов, загружаемых из нашего собственного домена. Предупреждение jQuery вызвано внешним скриптом, который необходимо обновить вручную:</p> Предупреждение о смешанном содержании в консоли<p> В этом случае скрипт нужно было вручную добавить в наш заголовок WordPress ( <em> header.php </em> ).<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/4.bp.blogspot.com/-CBb40RUI-I4/XOV95I9h7fI/AAAAAAAAAHo/7Ffg0hij6aUAB_x1tzaTFBpFxEuU0BgGACLcBGAs/s1600/Secure%2BSocket%2BLayer%2B%2528SSL%2529%2Bcertificate.jpg' /><noscript><img loading='lazy' src='/800/600/http/4.bp.blogspot.com/-CBb40RUI-I4/XOV95I9h7fI/AAAAAAAAAHo/7Ffg0hij6aUAB_x1tzaTFBpFxEuU0BgGACLcBGAs/s1600/Secure%2BSocket%2BLayer%2B%2528SSL%2529%2Bcertificate.jpg' /></noscript> Он должен использовать относительный URL-адрес, поэтому мы обновили его до <em> //ajax.googleapis.com/ajax/libs/jquery/3.3.1/jquery.min.js </em> :</p> Внешний HTTP-скрипт добавлен в заголовок WordPress в редакторе тем.<p> Поиск и замена, скорее всего, решат все ваши проблемы.</p><p> Как правило, вы столкнетесь с дополнительными проблемами только в том случае, если на вашем сайте WordPress есть что-то жестко запрограммированное.</p><p> Если вы считаете, что в одном из ваших плагинов или тем жестко запрограммирован внешний скрипт, и у вас возникли проблемы с его отслеживанием, не стесняйтесь обращаться за помощью к соответствующему разработчику. <br/></p><h3><span class="ez-toc-section" id="i-32"> Нет предупреждений о смешанном содержимом Примеры </span></h3><p> Теперь вы знаете, что искать, чтобы исправить эти ошибки смешанного содержимого.</p><p> Вот пример того, что происходит в Chrome, когда все правильно загружается через HTTPS, без предупреждений о смешанном содержимом:</p> Chrome без предупреждений о смешанном содержимом<p> Firefox предложит аналогичное сообщение:</p> Firefox не содержит предупреждений о смешанном содержимом<p> И вот что вы увидите в Microsoft Edge:</p> Microsoft Edge не содержит предупреждений о смешанном содержимом<p> Хотя формулировка сообщения может немного отличаться в зависимости от того, какой браузер вы используете.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.stack.imgur.com/kDWXZ.png' /><noscript><img loading='lazy' src='/800/600/http/i.stack.imgur.com/kDWXZ.png' /></noscript> используя, вы должны увидеть уведомление о безопасном соединении. Если вы это сделаете, вы будете знать, что больше не имеете дело с ошибками смешанного содержимого на своем сайте WordPress.</p><h3><span class="ez-toc-section" id="_HSTS"> Что насчет HSTS? </span></h3><p> Некоторым из вас может быть интересно, почему вы не можете просто использовать HSTS (HTTP Strict Transport Security) для решения этой проблемы. HSTS был создан как способ заставить браузер использовать безопасные соединения, когда сайт работает через HTTPS.</p><p> Это заголовок безопасности, который вы можете добавить на свой веб-сервер, и он отображается в заголовке ответа как «Strict-Transport-Security».</p><p> Однако <strong> HSTS не является быстрым решением для всех предупреждений о смешанном содержимом </strong> . HSTS просто обрабатывает перенаправления, тогда как предупреждение о смешанном содержимом является функцией самого браузера. Вы также не можете контролировать, включают ли сторонние сайты HSTS.</p><p> Поэтому вам всегда нужно обновлять URL-адреса <em> http:// </em> .<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/d2v4zi8pl64nxt.cloudfront.net/website-migration-guide/5a9f6c04dab709.83356256.png' /><noscript><img loading='lazy' src='/800/600/http/d2v4zi8pl64nxt.cloudfront.net/website-migration-guide/5a9f6c04dab709.83356256.png' /></noscript> Эса Йокинен глубже погружается в причины в этом обсуждении сбоя сервера.</p><h3><span class="ez-toc-section" id="i-33"> Дополнительные рекомендации (особые случаи) </span></h3><p> Если вы используете конструктор страниц Elementor, вы также должны зайти в настройки Elementor и обновить там URL-адрес вашего сайта, чтобы файлы CSS были восстановлены с новым URL-адресом.</p><p> После того, как вы это сделаете, очистка кеша должна устранить все небезопасные предупреждения из-за Elementor. Кроме того, если вы используете Kinsta CDN, рекомендуется также очистить зону CDN.</p> Готовы перейти на HTTPS, но недовольны предупреждениями о смешанном содержимом? 🥴 Узнайте, как решить эту проблему с помощью этого руководства!Нажмите, чтобы твитнуть<h3><span class="ez-toc-section" id="i-34"> Сводка </span></h3><p> Предупреждения о смешанном содержимом могут вызывать затруднения, особенно если их можно отнести к нескольким причинам. К счастью, есть несколько простых шагов, которые можно предпринять, чтобы решить эти проблемы.</p><p> В большинстве случаев простой поиск и замена должны быстро устранить предупреждения о смешанном содержании и вернуть сайт в нормальное состояние всего за несколько минут.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/fiverr-res.cloudinary.com/images/t_main1,q_auto,f_auto,q_auto,f_auto/gigs/112344989/original/85122db12f874e3fa88291b227e916838ec90843/write-800-words-blog-content.jpg' /><noscript><img loading='lazy' src='/800/600/http/fiverr-res.cloudinary.com/images/t_main1,q_auto,f_auto,q_auto,f_auto/gigs/112344989/original/85122db12f874e3fa88291b227e916838ec90843/write-800-words-blog-content.jpg' /></noscript> Если это не исправит все, вероятно, остался один или два жестко закодированных скрипта. Вам нужно будет найти их и обновить вручную, чтобы устранить эту ошибку, или нанять разработчика, который сделает это за вас.</p><p> Если у вас есть какие-либо отзывы или вы столкнулись с какими-либо проблемами, сообщите нам об этом ниже в разделе комментариев!</p><hr/><p> Экономьте время, затраты и повышайте производительность сайта с помощью:</p><ul><li> Мгновенная помощь от экспертов по хостингу WordPress, круглосуточно и без выходных.</li><li> Интеграция с Cloudflare Enterprise.</li><li> Глобальный охват аудитории благодаря 35 центрам обработки данных по всему миру.</li><li> Оптимизация с помощью нашего встроенного мониторинга производительности приложений.</li></ul><p> Все это и многое другое в одном плане без долгосрочных контрактов, сопровождаемой миграции и 30-дневной гарантии возврата денег. Ознакомьтесь с нашими планами или поговорите с отделом продаж, чтобы найти план, который подходит именно вам.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/ybierling.com/images/large/web/how-to-fix-mixed-content-warning-in-wordpress-in-easy-steps/how-to-fix-mixed-content-warning-in-wordpress-in-easy-steps.png' /><noscript><img loading='lazy' src='/800/600/http/ybierling.com/images/large/web/how-to-fix-mixed-content-warning-in-wordpress-in-easy-steps/how-to-fix-mixed-content-warning-in-wordpress-in-easy-steps.png' /></noscript></p><h2><span class="ez-toc-section" id="_WordPress"> Как исправить ошибки смешанного содержимого в WordPress </span></h2><p> Центр поддержки</p><p> Последнее обновление: 14 июня 2022 г.</p><p> Устранение неполадок HTTPSSSL</p><p> Если вы недавно добавили SSL-сертификат, при посещении вашего сайта вы можете увидеть символ защищенного замка в адресной строке. Однако в некоторых случаях вы можете столкнуться с проблемой, которая называется «смешанное содержимое», «небезопасное содержимое» или сценарии показа заблокированы. Эти проблемы означают, что сайт запрашивается по защищенному URL-адресу, но некоторые отдельные ресурсы на странице не загружаются безопасным образом через SSL.</p><hr/><h3><span class="ez-toc-section" id="i-35"> О смешанном содержимом </span></h3><p> Распространенным примером смешанного содержимого может быть случай, когда изображение загружается как небезопасное ( <code> <b> http </b> ://mydomain.com/image.jpg </code> ), но страница была запрошена с помощью SSL (<code> <b> https </b> ://mydomain.com </code> ). Это может привести к одному из двух последствий для вашего сайта:</p><ul><li> Символ защищенного замка не отображается или сломан</li><li> Символ защищенного замка появляется, но изображение или ресурс не отображаются</li></ul><p> Вы можете убедиться, что на ваш сайт влияют ошибки смешанного содержимого, проверив <b> консоль Inspect Element </b> .<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/slideplayer.fr/slide/3502258/11/images/75/Autres+possibilit%C3%A9s+...+Target+Namespaces+%26+Unqualified+Locals.jpg' /><noscript><img loading='lazy' src='/800/600/http/slideplayer.fr/slide/3502258/11/images/75/Autres+possibilit%C3%A9s+...+Target+Namespaces+%26+Unqualified+Locals.jpg' /></noscript> Вы увидите желтые предупреждения, если из-за небезопасного содержимого замок не отображается, и красные предупреждения, если содержимое было заблокировано из-за того, что оно небезопасно.</p><ul><li> В большинстве браузеров <strong> щелкните правой кнопкой мыши </strong> или <strong>, удерживая клавишу Ctrl, щелкните </strong> в любом месте страницы и выберите <strong> Проверить </strong> .</li><li> Нажмите на вкладку <strong> Консоль </strong>. Если ваш браузер пометил что-либо как небезопасное, это будет отображаться здесь.</li></ul><p> Вы также можете использовать такие инструменты, как Why No Padlock, чтобы определить, какой контент не загружается через HTTPS, или если есть какие-либо проблемы с вашим SSL. <br/></p><hr/><h3><span class="ez-toc-section" id="i-36"> Устранение ошибок смешанного содержимого </span></h3><p> Чтобы устранить ошибки и показать полностью защищенный сайт, вам потребуется изменить <b> HTTP </b> на <b> HTTPS </b> на всех ресурсах.</p><ol><li> Убедитесь, что установлен действительный SSL, щелкнув значок замка.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/1.bp.blogspot.com/-IoDWSKUSFO8/X_uVxLAapqI/AAAAAAAAM7I/CLwWNKLjdy4o4yVon2_A6yuuB-uwiOK_wCLcBGAsYHQ/w1200-h630-p-k-no-nu/maxresdefault.jpg' /><noscript><img loading='lazy' src='/800/600/http/1.bp.blogspot.com/-IoDWSKUSFO8/X_uVxLAapqI/AAAAAAAAM7I/CLwWNKLjdy4o4yVon2_A6yuuB-uwiOK_wCLcBGAsYHQ/w1200-h630-p-k-no-nu/maxresdefault.jpg' /></noscript><ul><li> Проверьте дату, чтобы убедиться, что срок действия сертификата не истек</li><li> Домен должен соответствовать URL-адресу, указанному в адресной строке</li></ul></li><li> Настройте страницу для принудительного HTTPS-запроса:<ul><li> Откройте страницу SSL на пользовательском портале<ol><li> Щелкните имя среды</li><li> Щелкните SSL</li></ol><li>6</li><li> Защищать все URL-адреса </b> — по умолчанию каждая страница загружается через HTTPS. <em> Не используйте настройки плагина для принудительного использования HTTPS с этой опцией, иначе вы получите ошибку цикла перенаправления.</li><li> <b> Безопасные определенные URL-адреса </b> — <i> Указанные </i> страниц загружаются по HTTPS по умолчанию. Убедитесь, что тестируемая страница защищена. <br/></li></ul></li><li> Измените URL вашего сайта на странице <strong> Settings </strong> <em> > </em> <strong> General </strong> панели администратора WordPress с <b> HTTP </b> на <b> HTTPS </b> . <br/></li><li> Очистить кеш сервера WP Engine</li><li> Очистить кеш браузера ИЛИ,<ul><li> Открыть страницу в окне инкогнито, чтобы обойти локальное кеширование:</li><li> При открытой странице нажмите <b> Ctrl + Shift + N </b> (Windows, Linux и Chrome OS) или <b> ⌘ + Shift + N </b> (Mac).<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/img.youtube.com/vi/t_VW8ZVtHbk/0.jpg' /><noscript><img loading='lazy' src='/800/600/http/img.youtube.com/vi/t_VW8ZVtHbk/0.jpg' /></noscript></li></ul></li></ol><hr/><h3><span class="ez-toc-section" id="i-37"> Дополнительные действия </span></h3><p> Если проблема не устранена, это означает, что некоторые URL-адреса вашего сайта жестко запрограммированы в базе данных или файлах. Есть несколько подходов к решению этой проблемы.</p><p> ПРИМЕЧАНИЕ</p><p> Перед изменением содержимого сделайте резервную копию своего веб-сайта.</p><ol><li> Найдите в своей базе данных активы с небезопасными ссылками и замените их защищенной версией.<ul><li> Поиск: <code> http: // <em> yourdomainhere </em> .com </code></li><li> Заменить: <code> https: // <em>.</ul></li></ol><p> ПРИМЕЧАНИЕ</p><p> Обязательно замените на правильную версию вашего домена с www или без www. Это должно соответствовать тому, что установлено в качестве основного домена.</p><ol start="2"><li> Плагин исправления небезопасного содержимого</li><li> Использовать правило постобработки HTML</li></ol><ol start="4"><li> Очистить кеш сервера</li><li> Очистить кеш браузера ИЛИ,<ul><li> Открыть страницу в окне инкогнито, чтобы обойти локальное кеширование:</li><li> При открытой странице нажмите <b> Ctrl + Shift + N </b> (Windows, Linux и Chrome OS) или <b> ⌘ + Shift + N </b> (Mac).<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/ru.megaindex.com/blog/files/images/mixed-content-https-alert.png' /><noscript><img loading='lazy' src='/800/600/http/ru.megaindex.com/blog/files/images/mixed-content-https-alert.png' /></noscript></li></ul></li></ol><p> ПРИМЕЧАНИЕ</p><p> Сеансы браузера в режиме инкогнито сохраняют кэш на время сеанса. Начните новый сеанс инкогнито для каждого теста.</p><ol start="6"><li> Просмотрите файлы темы и плагина:<ul><li> Проверьте код плагина или темы в панели администратора WordPress или через SFTP, чтобы увидеть, есть ли какие-либо URL-адреса, которые жестко запрограммированы как HTTP в самих файлах.</li></ul></li></ol><hr/><h3><span class="ez-toc-section" id="SSL_CDN"> SSL и CDN </span></h3><p> Если ваш сайт использует нашу включенную CDN, следует помнить о нескольких предостережениях.</p><ul><li> Зоны CDN WP Engine имеют два разных домена для соединений HTTP и HTTPS.<ul><li> <b> Небезопасно (по умолчанию): </b> <code> http:// <em> ZONEID </em> .wpengine.netdna-cdn.com </code></li><li> <b> Безопасный: </b> <code> https:// <em> ZONEID </em> -wpengine.netdna-ssl.com </code> </code></ul>9 0 Если вам нужно найти URL-адрес CDN для вашего сайта:<ol><li> После включения CDN <b> щелкните правой кнопкой мыши </b> или <b>, удерживая нажатой клавишу CTRL, </b> на странице вашего сайта и выберите <b> Просмотреть исходный код страницы </b></li><li> Найдите в исходном коде вашего сайта URL-адрес, подобный следующему.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/sprosikak.ru/wp-content/uploads/2017/01/mixed-content.png' /><noscript><img loading='lazy' src='/800/600/http/sprosikak.ru/wp-content/uploads/2017/01/mixed-content.png' /></noscript> пример. Идентификатор вашей зоны — это символы в начале этого пути. <br/></li><li> Строки зон CDN различаются для каждой среды.</li></ol></li><li> Возможно, вам потребуется попросить нашу службу поддержки включить SSL в вашей зоне CDN.</li></ul><p> ПРИМЕЧАНИЕ</p><p> Если вы используете собственный домен CDN (пример: cdn.yourdomain.com), вы должны предоставить нашей службе поддержки SSL-сертификат и файл ключа для защиты этого домена на сервере CDN. <strong> SSL-сертификаты Let’s Encrypt нельзя использовать в пользовательских доменах CDN. </strong></p><ul><li> Используете ли вы плагин для минификации и CDN? (пример: автооптимизация или WP Rocket)<ul><li> Просмотрите настройки плагина и обязательно заполните <em> защищенный URL CDN </em> (https).</li></ul></li></ul><hr/><p> <strong> СЛЕДУЮЩИЙ ШАГ: Сравните параметры сети WP Engine, чтобы увидеть, как можно легко повысить производительность сайта </strong></p><h2><span class="ez-toc-section" id="i-38"> Что такое смешанный контент? </span></h2><h3><span class="ez-toc-section" id="i-39"> Что такое смешанный контент? </span></h3><p> Смешанное содержимое — это сочетание безопасных и незащищенных ресурсов, находящихся на веб-странице.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/pandagila.com/wp-content/uploads/2019/10/mixed-content.jpg' /><noscript><img loading='lazy' src='/800/600/http/pandagila.com/wp-content/uploads/2019/10/mixed-content.jpg' /></noscript></p><p> Когда защищенная веб-страница пытается использовать незащищенные ресурсы (изображения, CSS и т. д.), это приводит к «смешанному содержимому».</p><h3><span class="ez-toc-section" id="i-40"> Смешанное содержимое ослабляет безопасность страницы </span></h3><p> Чтобы страница считалась защищенной, HTML и все ресурсы страницы должны безопасно обслуживаться через HTTPS. <br/></p><p> Если какой-либо из этих ресурсов не обслуживается безопасным образом, это приводит к смешанному содержимому. <br/></p><p> Если у вас есть безопасная страница (HTML, доставленная через HTTPS), которая вызывает изображение или любой ресурс из незащищенного источника, страница теперь будет считаться полностью <strong> небезопасной </strong> .</p><p> Незащищенная веб-страница представляет множество различных угроз для вас, вашего бизнеса и ваших пользователей. Что именно представляют собой эти угрозы, зависит от типа вызываемого ресурса (мы вернемся к этому ниже).</p><p> Смешанный контент влияет на то, как ваша веб-страница отображается в браузерах.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/i.pinimg.com/originals/05/ef/77/05ef770203c8efeb5fc2104ad5e0c97a.jpg' /><noscript><img loading='lazy' src='/800/600/http/i.pinimg.com/originals/05/ef/77/05ef770203c8efeb5fc2104ad5e0c97a.jpg' /></noscript></p><p></p><h3><span class="ez-toc-section" id="i-41"> Последствия смешанного содержимого </span></h3><p> Существует множество причин избегать смешанного содержимого. Наиболее очевидным является то, что смешанный контент означает, что ваша веб-страница не защищена и данные пользователя не защищены.</p><h4><span class="ez-toc-section" id="i-42"> Плохо для пользователей </span></h4><p> Если ваша страница не защищена, кто-то может отслеживать или украсть пользовательские данные ваших посетителей. Даже если никакие данные не будут украдены, когда пользователь посещает вашу страницу, он столкнется с различными предупреждениями или заявлениями браузера, указывающими, что страница не защищена. Это делает страницу непрофессиональной и заставит людей дважды подумать, прежде чем доверять сайту.</p><h4><span class="ez-toc-section" id="i-43"> Плохо для бизнеса </span></h4><p> Когда пользователь не доверяет вашей странице, он вряд ли будет взаимодействовать с ней или покупать товары на этой странице.</p><h4><span class="ez-toc-section" id="i-44"> Плохо для вас </span></h4><p> Незащищенные страницы подвергают вас многим типам угроз. Это может включать в себя такие вещи, как изменение внешнего вида вашего сайта и даже того, что он продает.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/ru.megaindex.com/blog/files/images/mixed-content-fix.jpg' /><noscript><img loading='lazy' src='/800/600/http/ru.megaindex.com/blog/files/images/mixed-content-fix.jpg' /></noscript> Ваш SEO может быть поврежден, если кто-то вставит ссылки на ваши веб-страницы.</p><h3><span class="ez-toc-section" id="i-45"> Типы смешанного содержимого </span></h3><p> Существует два типа смешанного содержимого:</p><h4><span class="ez-toc-section" id="i-46"> Пассивное смешанное содержимое </span></h4><p> Пассивное смешанное содержимое — это содержимое, которое по определению не может манипулировать страницей вокруг себя (например, изображения).</p><h4><span class="ez-toc-section" id="i-47"> Активный смешанный контент </span></h4><p> Активный смешанный контент — это контент, который по определению <strong> является </strong> способным манипулировать страницей вокруг него (например, Javascript).</p><h3><span class="ez-toc-section" id="i-48"> Веб-браузеры стремительно продвигаются к безопасному Интернету </span></h3><p></p><p> Веб-браузеры, такие как Chrome, Firefox и Internet Explorer, пытаются защитить своих пользователей от небезопасных страниц и проблем с веб-безопасностью. Они делают это, выпуская предупреждения, ярлыки и другие визуальные подсказки. В некоторых случаях они вообще не загружают страницу или, по крайней мере, не загружают некоторые ресурсы страницы, если они кажутся небезопасными.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/cdn3.wpbeginner.com/wp-content/uploads/2018/02/mixedcontenterrorwp.png' /><noscript><img loading='lazy' src='/800/600/http/cdn3.wpbeginner.com/wp-content/uploads/2018/02/mixedcontenterrorwp.png' /></noscript></p><blockquote><p> Было бы идеально, если бы браузеры блокировали весь смешанный контент. Однако это приведет к поломке большого количества веб-сайтов, на которые миллионы пользователей полагаются каждый день. Текущий компромисс заключается в том, чтобы блокировать самые опасные типы смешанного контента, но по-прежнему разрешать запрашивать менее опасные типы.</p><p> Документация по основным веб-сайтам Google</p></blockquote><p> Если некоторые ресурсы вашей веб-страницы не загружаются, это может привести к тому, что ваша веб-страница будет выглядеть или работать некорректно.</p><p> В любом случае смешанного содержимого веб-страница не защищена, и каждый браузер будет отображать разные предупреждения. Точные предупреждения, которые они показывают, со временем меняются, но общая тенденция становится все строже и строже. У каждого браузера есть свои собственные системы и поведение, но все они ведут к одной и той же конечной цели — более безопасной и надежной сети.</p><h3><span class="ez-toc-section" id="i-49"> Смешанный контент нуждается в исправлении </span></h3><p></p><p> Не существует «хорошего» или «безопасного» смешанного контента.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/technogeekzone.com/wp-content/uploads/2018/01/fix2Bmixed2Bcontent2Berror-1.jpg' /><noscript><img loading='lazy' src='/800/600/http/technogeekzone.com/wp-content/uploads/2018/01/fix2Bmixed2Bcontent2Berror-1.jpg' /></noscript> Веб-страницы со смешанным содержимым не являются безопасными. Если они у вас вообще есть и вы не хотите, чтобы веб-браузеры предупреждали ваших пользователей, вам нужно это исправить.</p><h3><span class="ez-toc-section" id="i-50"> Поиск ошибок смешанного содержимого </span></h3><p> Как правило, вы обнаружите ошибки, когда посещаете веб-страницы в браузере и замечаете, что на панели браузера нет зеленого замка. <br/> Когда вы сталкиваетесь с такой страницей, вы можете использовать панель безопасности Chrome, чтобы определить, какие файлы или вызовы вызывают смешанный контент.</p><h3><span class="ez-toc-section" id="i-51"> Исправление ошибок смешанного содержимого </span></h3><p> Ошибки смешанного содержимого возникают из-за того, как ресурсы вызываются HTML.</p><p> Здесь у нас есть изображение, вызываемое по URL-адресу HTTP (не HTTPS):</p><p> <img class="lazy lazy-hidden" decoding="async" src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src="http://example.com/image.jpg"><noscript><img decoding="async" src="http://example.com/image.jpg"></noscript></p><p> В этом случае нам нужно будет подтвердить, что изображение доступно по HTTPS. Если к изображению можно получить доступ по HTTPS, просто отредактируйте URL-адрес, указав «HTTPS», а не «HTTP».<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/1.bp.blogspot.com/-YkaE1rBsEt0/WkoYOF3cNZI/AAAAAAAACrM/rTolbMvGGKEuyo7Z2pTma5y9eeuzx-saQCLcBGAs/s640/Memperbaiki.Mixed.Content.di.blogger1.png' /><noscript><img loading='lazy' src='/800/600/http/1.bp.blogspot.com/-YkaE1rBsEt0/WkoYOF3cNZI/AAAAAAAACrM/rTolbMvGGKEuyo7Z2pTma5y9eeuzx-saQCLcBGAs/s640/Memperbaiki.Mixed.Content.di.blogger1.png' /></noscript></p><p> <img class="lazy lazy-hidden" decoding="async" src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src="https://example.com/image.jpg"><noscript><img decoding="async" src="https://example.com/image.jpg"></noscript></p><p> Вызвав это изображение с безопасного URL-адреса, мы исправили его, и оно больше не будет создавать ошибку или предупреждение смешанного содержимого.</p><p> Если бы изображение было недоступно по URL-адресу HTTPS, вам нужно было бы либо не использовать это изображение, либо разместить его на защищенном домене.</p><h3><span class="ez-toc-section" id="i-52"> Использование политики безопасности содержимого для исправления ошибок смешанного содержимого </span></h3><p> Если вы ищете автоматические способы исправления некоторого смешанного содержимого, вы можете рассмотреть возможность использования директивы <strong> "Небезопасные запросы на обновление" </strong> . Это заголовок безопасности, который говорит браузеру игнорировать «http» в ваших запросах и вместо этого менять их на «https». Это очень полезная вещь во многих ситуациях и хороший запасной вариант, чтобы вы не пропустили какой-либо смешанный контент на своем сайте.</p><p> Узнайте больше о небезопасных запросах на обновление здесь.<img class="lazy lazy-hidden" loading='lazy' src="//xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/cdn.searchenginejournal.com/wp-content/uploads/2020/03/chrome-81-mixed-content-5e83191294b39-760x400.png' /><noscript><img loading='lazy' src='/800/600/http/cdn.searchenginejournal.com/wp-content/uploads/2020/03/chrome-81-mixed-content-5e83191294b39-760x400.png' /></noscript></div><div class="post-meta"></div></article><nav class="navigation post-navigation" aria-label="Записи"><h2 class="screen-reader-text">Навигация по записям</h2><div class="nav-links"><div class="nav-previous"><a href="https://xn--80aahvkuapc1be.xn--p1ai/sajt/kak-proverit-tic-sajta-v-yandekse-kak-uznat-tic-sajta-v-yandekse-seoblog.html" rel="prev"><span class="meta-nav">Предыдущая запись</span> Как проверить тиц сайта в яндексе: Как узнать тиц сайта в яндексе — Seoblog</a></div><div class="nav-next"><a href="https://xn--80aahvkuapc1be.xn--p1ai/raznoe/sozdanie-bazy-dannyx-mysql-sozdanie-bazy-dannyx-v-mysql-nastrojka-i-udalenie-tablicy.html" rel="next"><span class="meta-nav">Следующая запись</span> Создание базы данных mysql: Создание базы данных в MySQL, настройка и удаление таблицы</a></div></div></nav><div id="comments" class="comments-area"><div id="respond" class="comment-respond"><h3 id="reply-title" class="comment-reply-title">Добавить комментарий <small><a rel="nofollow" id="cancel-comment-reply-link" href="/raznoe/mixed-content-mixed-content-web-security.html#respond" style="display:none;">Отменить ответ</a></small></h3><form action="https://xn--80aahvkuapc1be.xn--p1ai/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate><p class="comment-notes"><span id="email-notes">Ваш адрес email не будет опубликован.</span> <span class="required-field-message">Обязательные поля помечены <span class="required">*</span></span></p><p class="comment-form-comment"><label for="comment">Комментарий <span class="required">*</span></label><textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required></textarea></p><p class="comment-form-author"><label for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" autocomplete="name" required /></p><p class="comment-form-email"><label for="email">Email <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" aria-describedby="email-notes" autocomplete="email" required /></p><p class="comment-form-url"><label for="url">Сайт</label> <input id="url" name="url" type="url" value="" size="30" maxlength="200" autocomplete="url" /></p><p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Отправить комментарий" /> <input type='hidden' name='comment_post_ID' value='20457' id='comment_post_ID' /> <input type='hidden' name='comment_parent' id='comment_parent' value='0' /></p></form></div></div></main></div></div><div class="col-md-4"><div id="sidebar" class="sidebar"><div id="search-9" class="widget widget_search"><form role="search" method="get" class="form-search" action="https://xn--80aahvkuapc1be.xn--p1ai/"><div class="input-group"> <label class="screen-reader-text" for="s">Поиск:</label> <input type="text" class="form-control search-query" placeholder="Поиск и помощь" value="" name="s" title="Поиск:" /> <span class="input-group-btn"> <button type="submit" class="btn btn-default" name="submit" id="searchsubmit" value="Найти"><i class="fa fa-search"></i></button> </span></div></form></div><div id="categories-10" class="widget widget_categories"><div class="widget-title"><span>Рубрики</span></div><ul><li class="cat-item cat-item-8"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/seo">Seo</a></li><li class="cat-item cat-item-4"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/wordpress">Wordpress</a></li><li class="cat-item cat-item-6"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/dizajn">Дизайн</a></li><li class="cat-item cat-item-7"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/zarabotok">Заработок</a></li><li class="cat-item cat-item-9"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/plagin">Плагин</a></li><li class="cat-item cat-item-3"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/raznoe">Разное</a></li><li class="cat-item cat-item-15"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/rekomendac">Рекомендац</a></li><li class="cat-item cat-item-5"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/sajt">Сайт</a></li><li class="cat-item cat-item-1"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/sovety">Совет</a></li><li class="cat-item cat-item-12"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/sovet">Советы</a></li><li class="cat-item cat-item-13"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/tem-2">Тем</a></li><li class="cat-item cat-item-10"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/tem">Темы</a></li><li class="cat-item cat-item-14"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/urok-2">Урок</a></li><li class="cat-item cat-item-11"><a href="https://xn--80aahvkuapc1be.xn--p1ai/category/urok">Уроки</a></li></ul></div></div></div></div></div></div><footer class="mz-footer" id="footer"><div class="container footer-inner"><div class="row row-gutter"></div></div><div class="footer-wide"></div><div class="footer-bottom"><div class="site-info"> © Орфографика.рф, 2010 - 2019</div> Расшифровки, размещенные на сайте, предназначены только для личного, некоммерческого использования.<br> При перепосте материалов обязательна активная ссылка: «Текст подготовлен компанией Орфографика.рф». <br>Вопросы и предложения: info@орфографика.рф.</div></footer></div><p id="back-top"> <a href="#top"><i class="fa fa-angle-up"></i></a></p> <noscript><style>.lazyload{display:none}</style></noscript><script data-noptimize="1">window.lazySizesConfig=window.lazySizesConfig||{};window.lazySizesConfig.loadMode=1;</script><script async data-noptimize="1" src='https://xn--80aahvkuapc1be.xn--p1ai/wp-content/plugins/autoptimize/classes/external/js/lazysizes.min.js'></script>  <style>iframe,object{width:100%;height:480px}img{max-width:100%}</style><script>new Image().src="//counter.yadro.ru/hit?r"+escape(document.referrer)+((typeof(screen)=="undefined")?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+";"+Math.random();</script>  <script defer src="https://xn--80aahvkuapc1be.xn--p1ai/wp-content/cache/autoptimize/js/autoptimize_13058247d3082f39f5d009ed1b806645.js"></script></body></html><script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="74281c56f443192382f39938-|49" defer></script>