我正在研究一個web服務器,我沒有完全設置,我試圖找出網頁的哪些部分正在發送加密,哪些不是。 Firefox告訴我,頁面的某些部分是加密的,但我想知道是什麼,特別是加密的。如何確定網頁的哪些部分是加密的,哪些不是?
回答
對於加載頁面的每一個元素,檢查他們的計劃:
- 它以HTTPS開頭:它是加密的。
- 它以HTTP開頭:它沒有加密。
(你可以在頁面上單擊鼠標右鍵看到Firefox的一個比較完整的列表,然後選擇「查看頁面信息」,然後在「媒體」選項卡
編輯:FF只顯示圖像和多媒體元素。他們也是JavaScript文件& CSS的那些必須被檢查。並且Firebug是一個很好的工具來找到你需要的。
這似乎讓我看到了圖像列表,但文本元素呢?另外在我的這個被稱爲「查看網頁信息」。 – 2008-11-20 15:05:49
文本元素是頁面本身的一部分。他們不分開加載。 – 2008-11-20 16:19:34
嗅探數據包 - 這會告訴你真的很快。WireShark是一個很好的程序。一項任務
我必須得到我老闆的許可才能嗅探數據包。而且我應該能夠從更高層面做到這一點。但好建議! – 2008-11-20 15:02:30
firebug d這個?
編輯:看起來像螢火蟲也會使用「網」面板,這也給你一些其他有趣的統計數據。
部分內容可能不會列出HTTP或HTTPS,在這種情況下,無論是用於頁面將用於這些項目,也就是說,如果頁面請求下SSL那麼如果頁面請求不同時,這些圖像將陸續加密在SSL下,這些將不加密。 Internet Explorer中的提琴手也可能會用於追蹤這些信息。
我發現在https連接上檢測http鏈接的最佳工具是Fiddler。對於許多其他故障排除工作也很有幫助。
問題並不總是在您的網頁中的不良鏈接。
如果您在使用HTTPS外部網站鏈接到的IResources://,然後在外部網站沒有自己的HTTP重定向到非SSL頁面,這將打破你的頁面上的SSL鎖。
但是,當你查看源代碼,或在媒體選項卡中的信息,你將不會看到任何的http://,監守你的網頁能夠正確只使用https://開頭的鏈接。
如上所述,螢火蟲淨選項卡將顯示此問題和任何其他問題。請按照下列步驟操作:
- 如果您尚未安裝Firebug插件,請在Firefox中安裝Firebug插件,並在系統提示時重新啓動FF。
- 打開Firebug(F12或搜索框右側的小昆蟲菜單)。
- 在螢火蟲中,選擇「淨」標籤。點擊「啓用」(文本鏈接)將其打開
- 通過點擊Ctrl-Shift-R(或OSX中的Command-shift-R)來刷新問題頁面而不使用緩存。你會看到firefox中的「Net」標籤填滿了每個HTTP請求的列表。
- 頁面加載完成後,將鼠標懸停在網絡選項卡中顯示的每個HTTP請求的左列上。工具提示將出現,顯示您使用的實際鏈接。它很容易找到任何是http://而不是https://。
- 如果您的任何鏈接導致了HTTP重定向,您將在HTTP狀態列中看到「301 Moved Permanently」,並且另一個HTTP請求將位於新位置的下方。如果問題是由外部重定向引起的,那麼證據就是這樣 - 新位置的請求將是HTTP。
- 如果您的問題是由於來自外部網站的重定向引起的,您將看到「301已永久移動」狀態碼,以指示將它們指向新位置的請求。
- 將這301個重定位中的任何一個都加上左邊的加號,然後查看響應標題以查看發生了什麼。 Location:標題會告訴你外部服務器要求瀏覽器使用的新位置。
- 在重定向中記下此信息,然後發送一封友好的禮貌電子郵件到有問題的外部網站,並要求他們刪除https:// - > http://重定向。解釋它如何破壞您網站上的SSL,理想情況下包含一個鏈接,如果可能的話,這個鏈接會被打破,以便他們可以看到自己的錯誤。 (如果你只是告訴他們關於錯誤的信息,這會激發更快的行動)。
下面是Firebug的樣本輸出爲外部重定向問題。在我的情況,我發現打電話HTTPS頁面://數據飼料漸漸由外部服務器的HTTP改寫提要://。
我已將我的網站更名爲「mysite.example.com」,並將外部網站更名爲「external.example.com」,但其他方面完好無損。請求標題顯示在響應標題下面的底部。請注意,我的「M請求https://開頭的鏈接從我的網站,但要重定向到一個http://鏈接,這是什麼破我的SSL鎖:
Response Headers
Server nginx/0.8.54
Date Fri, 07 Oct 2011 17:35:16 GMT
Content-Type text/html
Content-Length 185
Connection keep-alive
Location http://external.example.com/embed/?key=t6Qu2&width=940&height=300&interval=week&baseAtZero=false
Request Headers
Host external.example.com
User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
Accept */*
Accept-Language en-gb,en;q=0.5
Accept-Encoding gzip, deflate
Accept-Charset ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection keep-alive
Referer https://mysite.example.com/real-time-data
Cookie JSESSIONID=B33FF1C1F1B732E7F05A547A9CB76ED3
Pragma no-cache
Cache-Control no-cache
所以,重要的是要注意在上面的響應標題中,您看到的是一個位置:以http://開頭,而不是https://。當確定該鎖是否有效時,您的瀏覽器將考慮到這一點,並且只報告部分加密的內容!(這實際上是提醒用戶潛在的XSRF和/或網絡釣魚攻擊的重要瀏覽器安全功能)。哈已經問外部網站停止他們的重定向到http。通常這是爲了方便而完成的,沒有意識到這種後果,並且寫得很好的禮貌電子郵件可以修復它。
我爲此使用FF插件HTTPFox。
- 1. CRM解決方案的哪些部分是累積的,哪些部分不是?
- 2. 網站的哪些部分是WSP/WAP?
- 3. URL的哪些部分是用SSL加密的?
- 4. bootstrap的哪些部分是必需的?
- 5. 哪些是URL?哪些是URN?
- 6. 哪些是Linux特定的Hadoop內部?
- 7. 如何確定哪些庫是動態加載的?
- 8. RSA私鑰的哪些部分是祕密的?
- 9. Java的哪些特定部分不是開源的?
- 10. 如何判斷哪些參數是必需的,哪些不是? (visual c + +)
- 11. 哪些是iPhone
- 12. 哪些是appsettings.json
- 13. 哪些是WPF
- 14. 哪些是
- 15. 如何確定哪些應該是父表以及哪些應該是定義父子關係時的子表
- 16. 如何找出哪些圖像是PDF中的哪些圖像?
- 17. 確定哪些內容已安全傳遞,哪些不是安全內容
- 18. 如何指定哪些Require.js模塊使用優化器壓縮,哪些不是?
- 19. 如何確定要查看哪些代碼部分?
- 20. Google Android平臺的哪些部分不是開源的?
- 21. 反射的哪些部分是不夠的?
- 22. 哪些是INotifyPropertyChanged更正確的實現?
- 23. 異步 - 其中哪些是正確的
- 24. 如何確定哪些是來自WinDBG的前臺.NET線程?
- 25. 如何查找npm包的哪些部分在瀏覽器中工作,哪些不是?
- 26. 找出哪些是不表
- 27. 如何確定哪些多個按鍵綁定是被解僱
- 28. 哪些是在SSRS
- 29. 哪些是在MSACCESS
- 30. 確定哪些頁面被打印
參見:http://stackoverflow.com/a/13760256/483588的[找出資源不會通過HTTPS] – 2012-12-07 09:32:46
可能重複(http://stackoverflow.com/questions/3292697/find-out-what-resources-are-going-over-https) – 2015-04-06 23:12:45