Начните искать ключевые слова
Используйте Serpstat, чтобы находить лучшие ключи
Что такое смешанный контент и как устранить его при использовании протокола HTTPS
АУДИТ САЙТА — СЕРТИФИКАТ HTTPS
Смешанный контент — это незащищенные элементы, передаваемые по HTTP-протоколу, которые размещены на страницах с SSL-сертификатом. Наличие на страницах с HTTPS-протоколом ссылок с HTTP соединением делает сайт уязвимым и негативно влияет на SEO.
Что такое смешанный контент при HTTPS
При использовании протокола HTTPS необходимо следить за тем, чтобы на страницах присутствовало только защищенное содержимое. То есть все внутренние и внешние ссылки на изображения, скрипты, другие страницы сайта должны быть прописаны либо в относительном виде, либо с протоколом HTTPS. Желательно сразу все прописывать в относительном виде.
Соединение со страницей по протоколу HTTPS зашифровано с помощью TLS и защищено от перехвата данных злоумышленниками. Если на такой странице присутствует незащищенный контент, страница становится уязвимой — ее можно перехватить и внести изменения в исходный код. Из-за этого возникает уязвимость и соединение перестает быть защищенным.
Если на защищенной странице с соединением HTTPS размещается ссылка, которая начинается с http://, это трактуется поисковыми системами как ошибка смешанного контента, на английском — «mixed content error», которая негативно влияет на продвижение сайта.
Согласно спецификации W3C, браузеры добавляют на страницы со смешанным содержимым сообщение о незащищенном контенте и о том, что подключение к сайту защищено не полностью:
Соединение со страницей по протоколу HTTPS зашифровано с помощью TLS и защищено от перехвата данных злоумышленниками. Если на такой странице присутствует незащищенный контент, страница становится уязвимой — ее можно перехватить и внести изменения в исходный код. Из-за этого возникает уязвимость и соединение перестает быть защищенным.
Если на защищенной странице с соединением HTTPS размещается ссылка, которая начинается с http://, это трактуется поисковыми системами как ошибка смешанного контента, на английском — «mixed content error», которая негативно влияет на продвижение сайта.
Согласно спецификации W3C, браузеры добавляют на страницы со смешанным содержимым сообщение о незащищенном контенте и о том, что подключение к сайту защищено не полностью:
Замок с треугольником, предупреждающий о незащищенном контенте в браузере
Предупреждение о смешанном контенте в браузере Chrome
Предупреждение в Mozilla:
Предупреждение о смешанном контенте в браузере Mozilla Firefox
Каким бывает смешанное содержимое на страницах
Mixed content делится на две группы — пассивное и активное смешанное содержимое.
1
Пассивный или отображаемый смешанный контент — те общедоступные элементы, похищение которых не позволяет получить конфиденциальную и финансовую информацию.
Перехват подобных данных по небезопасному протоколу не может принести материальной выгоды злоумышленникам. Единственное, что они могут сделать, — испортить внешний вид сайта подменой этого контента.
К пассивному смешанному контенту относятся картинки, аудио, видео и прочие элементы, в случае перехвата которых злоумышленники могут в хулиганских целях поменять файлы на какие-то нелицеприятные, нарушив стандартную работу ресурса.
Перехват подобных данных по небезопасному протоколу не может принести материальной выгоды злоумышленникам. Единственное, что они могут сделать, — испортить внешний вид сайта подменой этого контента.
К пассивному смешанному контенту относятся картинки, аудио, видео и прочие элементы, в случае перехвата которых злоумышленники могут в хулиганских целях поменять файлы на какие-то нелицеприятные, нарушив стандартную работу ресурса.
2
Активный смешанный контент содержит скрипты и фреймы, перехват которых может нанести урон сайту и его пользователям. К такому контенту в первую очередь относятся атрибуты src тегов <script> и <iframe>. Также к данной группе принадлежат:
При таком типе смешанного содержимого теоретически хакеры могут перехватить данные пользователя, похитить пароль, узнать номера банковских карточек и т.д.
При этом не имеет значения, вводит ли пользователь какие-то важные данные именно при подключении на эту страницу, так как злоумышленники могут перенаправить его с помощью скрипта на небезопасный сайт. Нужная информация будет украдена уже с этого ресурса.
Пользователям в целом не рекомендуется вводить данные своих карточек на сайтах, в надежности которых есть хотя бы небольшие сомнения.
- атрибут href тега <link>;
- атрибут data тега <object>;
- параметр URL в стилях CSS;
- XTMLHttpRequest, включая все его запросы.
При таком типе смешанного содержимого теоретически хакеры могут перехватить данные пользователя, похитить пароль, узнать номера банковских карточек и т.д.
При этом не имеет значения, вводит ли пользователь какие-то важные данные именно при подключении на эту страницу, так как злоумышленники могут перенаправить его с помощью скрипта на небезопасный сайт. Нужная информация будет украдена уже с этого ресурса.
Пользователям в целом не рекомендуется вводить данные своих карточек на сайтах, в надежности которых есть хотя бы небольшие сомнения.
Как обнаружить и устранить незащищенный контент при HTTPS
Если на проекте множество страниц, просмотреть код на всех них с помощью инструментов разработчиков браузеров — слишком трудоемкий процесс. Чтобы автоматизировать и упростить данную задачу, можно воспользоваться модулем «Аудит сайта» от Serpstat. Перейдем для этого в раздел «Сертификат HTTPS» суммарного отчета:
Аудит сайта в Serpstat
В данном отчете будут видны ошибки, связанные со смешанным контентом. Рассмотрим более подробно указанный выше пример:
1
Ошибочные ссылки со страниц c протоколом HTTPS на страницы HTTP.
Данную ошибку можно исправить, если заменить на указанных страницах во внутренних ссылках незащищенный протокол HTTP на HTTPS.
Данную ошибку можно исправить, если заменить на указанных страницах во внутренних ссылках незащищенный протокол HTTP на HTTPS.
Страницы с HTTPS ссылаются на страницы с HTTP
2
Использование поддержки HSTS.
Эта ошибка связана с особенностями веб-сервера, для ее устранения необходимо обратиться в службу хостинг-провайдера, узнав, есть ли возможность использования HSTS. Это механизм, активирующий автоматическое перенаправление на безопасный протокол даже при пользовательском вводе ссылки с http://.
Эта ошибка связана с особенностями веб-сервера, для ее устранения необходимо обратиться в службу хостинг-провайдера, узнав, есть ли возможность использования HSTS. Это механизм, активирующий автоматическое перенаправление на безопасный протокол даже при пользовательском вводе ссылки с http://.
Использование поддержки HSTS
3
Присутствие незащищенных элементов.
При появлении данной ошибки необходимо проверить указанные страницы на наличие исходящих ссылок, начинающихся с http://, и также исправить их на https://. Если ресурсы, на которые ведут ссылки, работают не на защищенном соединении, можно скачать с них необходимые данные.
Например, при использовании изображений или скриптов с других ресурсов их проще всего скачать, затем данные загружаются на собственный сервер. После этого нужно изменить проблемные ссылки на относительные или же использовать протокол HTTPS.
При появлении данной ошибки необходимо проверить указанные страницы на наличие исходящих ссылок, начинающихся с http://, и также исправить их на https://. Если ресурсы, на которые ведут ссылки, работают не на защищенном соединении, можно скачать с них необходимые данные.
Например, при использовании изображений или скриптов с других ресурсов их проще всего скачать, затем данные загружаются на собственный сервер. После этого нужно изменить проблемные ссылки на относительные или же использовать протокол HTTPS.
Наличие незащищенных элементов
4
Помимо перечисленного выше, с помощью отчета Serpstat можно узнать, не попали ли незащищенные ссылки в файл sitemap и не остались ли на проекте страницы с протоколом HTTP.
5
Кроме того, сайт можно дополнительно просканировать любой программой или сканером сайта типа SEO Frog. Он также выдаст полный список ссылок, которые есть на сайте как с http, так и с https.
Чтобы обнаружить смешанное содержимое на сайтах WordPress, можно также использовать данный плагин.
Поиск смешанного контента в консоли разработчика
Еще один способ обнаружить смешанный контент, подходящий для небольших сайтов, — воспользоваться консолью JavaScript. Зайдите в Chrome и выберите в верхнем правом углу Дополнительные инструменты → Инструменты разработчика → Консоль и просмотрите в ней сообщения об ошибках Mixed content. При их наличии исправьте URL в ссылках с http на https и проверьте HTMI-код вновь. Повторите данную процедуру для всех веб-страниц сайта.
Поиск смешанного контента в консоли разработчика
Еще один способ обнаружить смешанный контент, подходящий для небольших сайтов, — воспользоваться консолью JavaScript. Зайдите в Chrome и выберите в верхнем правом углу Дополнительные инструменты → Инструменты разработчика → Консоль и просмотрите в ней сообщения об ошибках Mixed content. При их наличии исправьте URL в ссылках с http на https и проверьте HTMI-код вновь. Повторите данную процедуру для всех веб-страниц сайта.
Сообщение о смешанном контенте в консоли разработчика
FAQ
Чем опасен смешанный контент?
Смешанный контент появляется на странице, когда она загружается через безопасный протокол HTTPS, а некоторые данные на ней, например, скрипты или изображения — через незащищенный протокол http. Это делает страницу уязвимой и позволяет злоумышленникам получить конфединциальные данные пользователей, например, пароли или сведения о банковских карточках.
Как mixed content влияет на SEO?
Смешанный контент негативно влияет на SEO, так как он ухудшает пользовательский опыт и делает страницы сайта небезопасными. Чтобы избежать проблем с продвижением ресурса, необходимо выявлять уязвимости, связанные с mixed content, и сразу же менять небезопасный протокол http на https.
Заключение
Смешанный контент негативно влияет на отображение сайта и его продвижение, поэтому необходимо принимать меры по его своевременному обнаружению и устранению. Это необходимо для обеспечения безопасности пользователей ресурса, эффективного SEO-продвижения и устранения предупреждений браузеров.
Все браузеры обязаны информировать пользователя о наличии незащищенных элементов на странице, поэтому многие потенциальные посетители могут выбрать более безопасный сайт-конкурент, на котором не будет смешанного содержимого.
Обнаружить проблемы со смешанным контентом можно с помощью инструментов разработчиков браузеров, однако это требует продолжительного времени. Более оперативный способ — получить детальные сведения о всех проблемах, связанных с некорректным использованием протокола HTTP на сайте, с помощью Serpstat.
Сканировать сайт на предмет небезопасных ссылок нужно сразу после того, как сайт создан или переведен на https.
При исправлении ошибок в зависимости от ситуации необходимо либо менять ссылки на безопасные с https://, либо загружать нужные файлы на свой сервер с других ресурсов и затем использовать относительные ссылки.
Все браузеры обязаны информировать пользователя о наличии незащищенных элементов на странице, поэтому многие потенциальные посетители могут выбрать более безопасный сайт-конкурент, на котором не будет смешанного содержимого.
Обнаружить проблемы со смешанным контентом можно с помощью инструментов разработчиков браузеров, однако это требует продолжительного времени. Более оперативный способ — получить детальные сведения о всех проблемах, связанных с некорректным использованием протокола HTTP на сайте, с помощью Serpstat.
Сканировать сайт на предмет небезопасных ссылок нужно сразу после того, как сайт создан или переведен на https.
При исправлении ошибок в зависимости от ситуации необходимо либо менять ссылки на безопасные с https://, либо загружать нужные файлы на свой сервер с других ресурсов и затем использовать относительные ссылки.
Эта статья — часть модуля «Аудит сайта» в Serpstat
Аудит всего сайта или отдельной страницы в один клик. Полный список ошибок, отсортированный по критичности, пути их устранения и рекомендации. Любая периодичность проверки и автоматическая рассылка отчетов на почту.
| Запустить аудит сайта |
Serpstat — набор инструментов для поискового маркетинга!
Находите ключевые фразы и площадки для обратных ссылок, анализируйте SEO-стратегии конкурентов, ежедневно отслеживайте позиции в выдаче, исправляйте SEO-ошибки и управляйте SEO-командами.
Набор инструментов для экономии времени на выполнение SEO-задач.
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.
Используйте лучшие SEO инструменты
Подбор ключевых слов
Поиск ключевых слов – раскройте неиспользованный потенциал вашего сайта
Возможности Serpstat
Возможности Serpstat – комплексное решение для эффективного продвижения вебсайтов
Кластеризация ключевых слов
Кластеризация ключевых слов автоматически обработает до 50 000 запросов в несколько кликов
SEO аудит страницы
Проанализируйте уровень оптимизации документа используя SЕО аудит страницы
Рекомендуемые статьи
Кейсы, лайфхаки, исследования и полезные статьи
Не успеваешь следить за новостями? Не беда! Наш любимый редактор подберет материалы, которые точно помогут в работе. Только полезные статьи, реальные кейсы и новости Serpstat раз в неделю. Присоединяйся к уютному комьюнити :)
Нажимая кнопку, ты соглашаешься с нашей политикой конфиденциальности.