Lỗi nội dung hỗn hợp là gì? Làm thế nào để tìm và sửa lỗi Mixed content trên website đã cài SSL?

mixed content

Chỉ đơn giản là cài đặt HTTPS không phải lúc nào cũng đủ – bạn cũng cần biết cách xác định và sửa lỗi nội dung hỗn hợp (mixed content error).

Nếu gần đây bạn đã di chuyển trang web của mình từ kết nối HTTP không an toàn sang kết nối HTTPS an toàn hơn , bạn vẫn có thể gặp phải sự cố khi nhận được cảnh báo lỗi mixed content. Tệ hơn nữa, trang web của bạn có thể hiển thị không an toàn cho khách truy cập trang web, khiến họ nhanh chóng nhấp vào nút ‘quay lại’ và tìm nơi khác để khám phá.

Vấn đề thực sự với các cảnh báo nội dung hỗn hợp trên các kết nối HTTPS đang xuất hiện với bản phát hành mới nhất của Google Chrome – Chrome 79. Với bản phát hành mới này, một số nội dung tiếp tục tải qua kết nối không an toàn sẽ tự động bị chặn. Nó sẽ đánh dấu các trang web sử dụng TLS 1.0 hoặc 1.1 là không phải là Secure và không còn hiển thị biểu tượng khóa cho chúng.

Xa hơn nữa với Chrome 81, dự kiến ​​sẽ được phát hành vào tháng 3 , Google sẽ loại bỏ hoàn toàn hỗ trợ cho giao thức TLS cũ, sẽ chặn tất cả nội dung không bảo mật theo mặc định. Nói cách khác, nội dung trên trang web của bạn không dùng giao thức HTTPS sẽ không thể tải được và khách truy cập trang web của bạn sẽ không thấy nội dung này.

Nếu bạn muốn đảm bảo tất cả nội dung trang web của bạn đang tải qua kết nối an toàn và khách truy cập trang web sẽ thấy tất cả, hãy tiếp tục đọc. Hôm nay chúng tôi sẽ giải thích nội dung hỗn hợp (mixed content) là gì và nội dung không an toàn là gì  cũng như cách tìm và sửa các cảnh báo nội dung hỗn hợp nếu bạn thấy chúng trên trang web HTTPS của bạn.

Nội dung hỗn hợp là gì?

Theo Google , nội dung hỗn hợp (mixed content) xảy ra khi các file HTML trên trang web tải qua kết nối HTTPS an toàn (nhờ chứng chỉ SSL được cài đặt gần đây) nhưng các nội dung khác, chẳng hạn như hình ảnh, nội dung video, bảng định kiểu và tập lệnh, tiếp tục tải qua HTTP không an toàn kết nối. Điều này dẫn đến một số nội dung web tải an toàn và một số nội dung web tải không an toàn .

Do đó, dẫn đến mixed content.

Đồ họa: Ảnh ghép các thông báo lỗi nội dung hỗn hợp trên các trang web

Các trang web bảo mật tải qua các kết nối HTTPS cung cấp các lợi ích sau:

  • Xác thực. Đảm bảo với khách truy cập trang web của bạn rằng họ an toàn khi họ truy cập trang web của bạn và tham gia vào nội dung trang web của bạn, đặc biệt nếu bạn điều hành một cửa hàng trực tuyến nơi chia sẻ thông tin tài chính. Ngoài ra, hãy xác minh cho khách truy cập trang web rằng họ đang ở trên trang web mà họ muốn và chưa được chuyển hướng đến một trang web độc hại.
  • Toàn vẹn dữ liệu. Trực quan nói với khách truy cập trang web rằng thông tin cá nhân và tài chính của họ được bảo mật và an toàn trước các tin tặc bất kể họ có hành động gì trên trang web của bạn. Ngoài ra, cung cấp cho trình duyệt khả năng phát hiện xem hacker có thay đổi bất kỳ dữ liệu nào mà trình duyệt nhận được hay không. Nói cách khác, giúp người dùng tin tưởng rằng tin tặc chưa chuyển hướng tiền được trả qua cửa hàng trực tuyến của bạn sang tài khoản khác.
  • Vô danh. Khách truy cập trang web đảm bảo rằng hành vi của họ trong khi trên trang web của bạn không bị người khác chặn và sử dụng độc hại.

Nói tóm lại, HTTPS cho phép chủ sở hữu trang web bảo mật dữ liệu của họ và tạo niềm tin với những người truy cập trang web của họ để họ có thể tiếp tục xây dựng thương hiệu và doanh nghiệp của mình.

Tại sao nội dung hỗn hợp là một vấn đề bảo mật?

Đồ họa: Một ví dụ ảnh chụp màn hình về lỗi nội dung hỗn hợp

Nếu nội dung hỗn hợp tải qua kết nối an toàn, bạn có thể tự hỏi tại sao nó quan trọng. Rốt cuộc, kết nối HTTPS sẽ được đảm bảo tài nguyên bất kể nó có hỗn hợp hay không, phải không?

Sai lầm.

Bất cứ khi nào có nội dung hỗn hợp hoặc không an toàn trên một trang web, toàn bộ trang web sẽ trở nên dễ bị tấn công. Mặc dù nó không mở trang web với tất cả các loại tội phạm mạng, nhưng nó làm suy yếu tính bảo mật chung của trang web. Điều này có nghĩa là nếu một hacker tấn công một trang web tải nội dung hỗn hợp, họ có thể có quyền kiểm soát toàn bộ trang, không chỉ là tài nguyên không an toàn.

Mặc dù hầu hết các trình duyệt hiện đại hiển thị cảnh báo nội dung hỗn hợp cho mọi người xem trước khi họ truy cập trang web, nhưng sự thật là, nhiều cảnh báo trong số này đến quá muộn. Trên thực tế, đôi khi tin tặc đã xâm nhập vào các trang web nội dung hỗn hợp và bắt đầu gây thiệt hại mà không có chủ sở hữu trang web hoặc khách truy cập biết những gì đã xảy ra.

Dưới đây là một số cách khác nội dung hỗn hợp hoặc không an toàn trên trang web HTTPS của bạn có thể trở thành vấn đề bảo mật:

  • Tin tặc có thể chặn các yêu cầu HTTP để tải hình ảnh và tráo hình ảnh trang web của bạn ra một hình ảnh khác mà tin tặc thích.
  • Hình ảnh nút ‘lưu’ và ‘xóa’ của bạn có thể được chuyển đổi, khiến khách truy cập trang web vô tình lưu hoặc xóa nội dung.
  • Mặt trước của trang web của bạn có thể bị xóa, điều này đặc biệt xấu khi nó có hình ảnh hoặc văn bản dâm dục hoặc không phù hợp.
  • Một hacker có thể chặn nội dung bằng văn bản và viết lại hoàn toàn.
  • Mật khẩu, cookie phiên và thông tin đăng nhập khác có thể bị xâm phạm và rơi vào tay tội phạm mạng.
  • Khách truy cập trang web của bạn có thể được chuyển hướng đến một trang web khác mà không biết bất kỳ sự khác biệt.

Các trình duyệt làm hết sức mình để chặn các loại nội dung hỗn hợp nguy hiểm nhất trên các trang web. Tuy nhiên, không thể chặn tất cả (mặc dù đó có vẻ là một giải pháp rõ ràng) bởi vì rất nhiều trang web được thiết lập tốt và bị buôn bán cao làm cho nội dung hỗn hợp hoặc không an toàn cho khách truy cập trang web. Chặn tất cả sẽ dẫn đến hủy hoại và gây ra rất nhiều vấn đề.

Điều đó nói rằng, bạn có thể mong đợi các trình duyệt phổ biến như Chrome sẽ tiếp tục chặn ngày càng nhiều nội dung hỗn hợp khi các phiên bản mới được phát hành.

Cách tìm và sửa các cảnh báo nội dung hỗn hợp trên trang web HTTPS của bạn

Nếu bạn đã thực hiện một cách tiếp cận chủ động để bảo mật trang web và đã cài đặt chứng chỉ SSL trên trang web của mình , hãy tự hào. Dữ liệu từ Báo cáo minh bạch của Google chỉ ra rằng người dùng máy tính để bàn tải hơn một nửa số trang họ truy cập qua các kết nối HTTPS và dành hơn hai phần ba thời gian của họ cho các trang web HTTPS.

Đồ họa: Biểu đồ Báo cáo minh bạch của Google về các nền tảng mọi người sử dụng để truy cập các trang web HTTPS.

Thật không may, mã hóa dữ liệu ít phổ biến hơn trên các thiết bị di động, mặc dù nhiều chủ sở hữu trang web đang thực hiện các biện pháp để bảo mật trang web di động của họ khi thời gian tiếp tục và việc sử dụng di động trên toàn thế giới tiếp tục tăng.

Tuy nhiên, chỉ vì bạn đã làm đúng bằng cách mã hóa dữ liệu trang web của mình, điều đó không có nghĩa là nội dung trang web của bạn hoàn toàn an toàn. Đó là lý do tại sao bạn phải làm việc chăm chỉ để ngăn tải nội dung hỗn hợp trên trang web của bạn ngay từ đầu. Nếu không, chứng chỉ SSL đó làm bạn không tốt.

Hãy xem cách tìm và sửa lỗi tải nội dung hỗn hợp trên trang web HTTPS bằng Google Chrome.

Bước 1: Truy cập trang web của bạn

Truy cập trang web của bạn để tìm cảnh báo nội dung hỗn hợp hoặc không an toàn có vẻ rõ ràng. 

Điều quan trọng là bạn kiểm tra trang web của mình trước để xem liệu bạn đang tải nội dung hỗn hợp hoặc không an toàn qua kết nối HTTPS an toàn của bạn. Hãy nhớ rằng, Google Chrome sẽ hiển thị các cảnh báo nội dung hỗn hợp nếu có nội dung hỗn hợp trên trang web của bạn.

Để xem các cảnh báo nội dung hỗn hợp của Chrome, trước tiên, hãy nhấp vào trang web bạn muốn kiểm tra. Sau đó, nhấp chuột phải và cuộn xuống ‘Inspect Element’. Khi bạn làm, chọn tab có nhãn Console . Trình duyệt sẽ phát hiện nội dung hỗn hợp và hiển thị các cảnh báo như thế này:

Đồ họa: Một cái nhìn hậu trường về nội dung hỗn hợp
(Nguồn hình ảnh: https://googlesamples.github.io/web-fundamentals/fundamentals/security/prevent-mixed-content/passive-mixed-content.html)

Nếu nội dung hỗn hợp rất nghiêm trọng (có nghĩa là nó sẽ mở ra các tin tặc để kiểm soát hoàn toàn toàn bộ trang web của bạn), các cảnh báo nội dung hỗn hợp sẽ hiển thị màu đỏ:

Đồ họa: Ảnh chụp màn hình lỗi nội dung hỗn hợp
(Nguồn hình ảnh: https://googlesamples.github.io/web-fundamentals/fundamentals/security/prevent-mixed-content/active-mixed-content.html)

Các công cụ dành cho nhà phát triển Chrome sẽ chỉ hiển thị các cảnh báo nội dung hỗn hợp cho trang web bạn hiện đang xem. Điều này có nghĩa là bạn sẽ phải kiểm tra thủ công từng trang web trên trang web của mình nếu bạn muốn sửa tất cả các cảnh báo nội dung hỗn hợp trên trang web của mình. Như bạn có thể thấy, đây có thể là một công việc rất tốn thời gian và tẻ nhạt nếu bạn không bắt kịp các vấn đề sớm.

Bước 2: Xác minh URL của trang web của bạn

Bên cạnh việc kiểm tra mã nguồn trên toàn bộ trang web của bạn, một cách chắc chắn khác để xác định nội dung không an toàn trên trang web của bạn, mặc dù có kết nối HTTPS, là kiểm tra URL của trang web của bạn.

Nếu bạn nhận thấy rằng một số URL của trang web của bạn là HTTP thay vì HTTPS khi bạn biết rằng bạn có chứng chỉ SSL đang hoạt động trên trang web của mình, thì bạn có thể gặp sự cố với một số nội dung hỗn hợp đang tải ở mặt trước cho khách truy cập trang web. Tốt nhất là giữ một danh sách tất cả các trang web trên trang web của bạn đang tải nội dung hỗn hợp hoặc không an toàn. Điều này sẽ giúp bạn giữ ngăn nắp khi sửa tất cả các cảnh báo bạn khám phá.

Bước 3: So sánh các trang web HTTP vs HTTPS

Khi bạn biết nội dung hỗn hợp đang tải trên trang web HTTPS của mình, điều tiếp theo bạn muốn làm là so sánh trang web HTTP không an toàn của bạn với trang web HTTPS an toàn (sử dụng cùng một URL cho cả hai). Nếu các trang web giống hệt nhau qua HTTP và HTTPS, hãy chuyển sang bước tiếp theo. Điều này có nghĩa là không có nội dung nào bị Google Chrome chặn và bạn có thể tiếp tục.

Đồ họa: Một minh họa về nội dung hỗn hợp trong trình duyệt
(Nguồn hình ảnh: https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content#finding_mixed_content_by_visiting_your_site)

Tuy nhiên, nếu bạn thấy cảnh báo hoặc nội dung sẽ không hiển thị qua kết nối HTTP, bạn nên thực hiện một trong các thao tác sau:

  • Loại bỏ tài nguyên hoàn toàn ( ví dụ: hình ảnh, video, v.v. sẽ không hiển thị qua HTTP );
  • Bao gồm tài nguyên từ một máy chủ khác nếu có sẵn; hoặc là
  • Tải xuống và lưu trữ tài nguyên trên trang web của bạn trực tiếp.

Bước 4: Thay đổi URL và lưu

Nếu trang web của bạn hiển thị giống nhau trên cả kết nối HTTP và HTTPS, bước tiếp theo là thay đổi URL từ http: // thành https: // , lưu tệp nguồn và triển khai lại tệp đã cập nhật.

Sau đó, nhấp vào trang web nơi xuất hiện lỗi nội dung hỗn hợp và đảm bảo rằng nó đã được sửa và hiển thị qua kết nối HTTPS an toàn.

Các cách để ngăn chặn cảnh báo nội dung hỗn hợp trên trang web HTTPS của bạn

Việc cài đặt chứng chỉ SSL trên trang web của bạn có thể gây phiền toái và tiếp tục nhận được các cảnh báo nội dung hỗn hợp mặc dù có kết nối an toàn. Đó là lý do tại sao thực hiện một số biện pháp bổ sung để bảo mật trang web của bạn và bảo vệ khách truy cập trang web của bạn, đôi khi là cần thiết.

1. Luôn sử dụng URL HTTPS khi tải trang web của bạn

Điều quan trọng là bạn áp dụng kết nối HTTPS của mình (https: //) cho tất cả các trang web trên trang web của bạn bất cứ khi nào có thể. Nếu bạn nhận thấy rằng các trang web của bạn đang tải qua một kết nối không an toàn, mặc dù có chứng chỉ SSL đang hoạt động trên trang web của bạn, bạn cần khắc phục điều này. Điều này có thể có nghĩa là liên lạc với nhóm hỗ trợ của nhà cung cấp dịch vụ lưu trữ web của bạn nếu họ là những người cung cấp cho bạn chứng chỉ SSL.

2. Sử dụng Tiêu đề chỉ bảo mật nội dung-chính sách-báo cáo

Nếu bạn muốn tự động thu thập các báo cáo về nội dung hỗn hợp trên trang web của mình, bạn có thể xem xét thêm đoạn mã này vào tiêu đề phản hồi HTTP của trang web của mình :

Content-Security-Policy-Report-Only: default-src https: 'unsafe-inline' 'unsafe-eval'; report-uri https://example.com/reportingEndpoint

Mặc dù điều này không đáng tin cậy 100% để sửa nội dung hỗn hợp trước khi nó trở thành vấn đề, nhưng nó giúp những người có trang web lớn đứng đầu nội dung không an toàn.

Khi khách truy cập trang web truy cập vào một trang web có nội dung hỗn hợp, một báo cáo được gửi tới https://example.com/reportingEndpoint cảnh báo bạn rằng có điều gì đó đã vi phạm chính sách bảo mật nội dung.

Báo cáo sẽ bao gồm:

  • URL của trang web được đề cập và
  • Các nguồn con đã vi phạm chính sách.

Bằng cách định cấu hình điểm cuối báo cáo của bạn để ghi lại các báo cáo này, bạn có thể theo dõi nội dung hỗn hợp trên trang web của mình mà không phải tự truy cập từng trang web. Điều đó nói rằng, lần duy nhất chiến lược này hoạt động là nếu một khách truy cập trang web truy cập vào một trang web có nội dung hỗn hợp. Chưa kể, bạn sẽ chỉ nhận được báo cáo cho các trang web bị kiểm duyệt ở mức độ vừa phải, có nghĩa là nội dung hỗn hợp có thể được tải trong một thời gian trước khi bạn biết về nó.

3. Sử dụng Chỉ thị CSP Nâng cấp-Không an toàn-Yêu cầu

Một cách khác để tự động phát hiện và sửa các cảnh báo nội dung hỗn hợp trên trang web HTTPS của bạn trước khi nó trở thành vấn đề là sử dụng công cụ chỉ thị yêu cầu nâng cấp-không an toàn . Công cụ này yêu cầu trình duyệt nâng cấp tất cả các URL không an toàn trước khi thực hiện bất kỳ yêu cầu nào của người dùng.

Nói cách khác, một URL không an toàn sẽ được bảo mật trước khi tải cho khách truy cập trang web ở mặt trước của trang web của bạn.

Để thực hiện việc này, hãy thêm đoạn mã thẻ meta này vào phần <head> HTML của tài liệu:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

Hãy nhớ rằng, nếu tài nguyên đang tải qua HTTP qua kết nối HTTPS không có sẵn trên HTTPS, công cụ này sẽ không hoạt động. Do đó, tài nguyên sẽ không được nâng cấp là an toàn và sẽ không tải cho khách truy cập trang web. Mặc dù điều này có nghĩa là khách truy cập trang web sẽ bỏ lỡ một số nội dung trang web của bạn, nhưng điều đó cũng có nghĩa là họ vẫn an toàn khi họ khám phá trang web của bạn.

4. Sử dụng Công cụ Trực tuyến để Xác định Cảnh báo Nội dung Hỗn hợp

Nếu bạn có một trang web lớn và không có thời gian và nhân lực để thực hiện tất cả những điều trên, bạn luôn có thể sử dụng dịch vụ trình thu thập dữ liệu web để giúp xác định các cảnh báo nội dung hỗn hợp trên trang web HTTPS của bạn:

  • Tại sao không có ổ khóa? Công cụ miễn phí này sẽ cho phép bạn nhanh chóng kiểm tra URL của mình để đảm bảo không có liên kết không an toàn nào được tìm thấy trên trang web của bạn.
  • Kiểm tra HTTPS . Phần mềm Freemium này, có sẵn cho Windows, Mac và Ubuntu Linux, rất phù hợp cho
    • kiểm tra các cảnh báo ‘Không an toàn’ của Chrome,
    • giúp bạn chuẩn bị cho việc di chuyển HTTPS,
    • quét nhiều tên miền cùng một lúc và
    • kiểm tra các vấn đề liên quan đến nhập khẩu lớn hoặc thay đổi nội dung.
  • Quét nội dung hỗn hợp . Được tìm thấy trong GitHub, Quét nội dung hỗn hợp cho phép bạn quét trang web HTTPS của mình để tìm nội dung hỗn hợp. Sau khi quét trang web của bạn, bạn sẽ thấy một danh sách các URL gây ra cảnh báo nội dung hỗn hợp. Bạn sẽ thấy các cảnh báo khác nhau trong các màu sắc khác nhau để bạn có thể dễ dàng phát hiện ra những gì đang gây ra sự cố trên trang web của mình.
  • JitBit Scanner : Công cụ miễn phí này quét toàn bộ trang web của bạn, thậm chí theo các liên kết nội bộ, để tìm kiếm hình ảnh, tập lệnh và tệp CSS không an toàn kích hoạt cảnh báo nội dung hỗn hợp. Điều đó nói rằng, bạn chỉ có thể quét tối đa 400 trang web với công cụ này.

Kết thúc

Cuối cùng, có một trang web HTTPS là quan trọng hơn bao giờ hết . Google Chrome sẽ là người đầu tiên nói với khách truy cập trang web khi trang web của bạn không an toàn và sử dụng kết nối HTTPS. Thứ hạng tìm kiếm của bạn sẽ tăng nếu bạn có một trang web không an toàn và mọi người sẽ chậm tin vào thương hiệu hoặc doanh nghiệp của bạn nếu bạn không thể chứng minh với họ rằng họ an toàn khi duyệt trang web của bạn.

Chứng chỉ SSL miễn phí thường được bao gồm trong các gói lưu trữ web , nhưng chứng chỉ cao cấp có thể có giá lên tới hàng trăm hoặc hàng ngàn đô la. Mặc dù không có câu trả lời đúng cho việc chọn loại chứng chỉ nào (vì nhu cầu của mọi người là khác nhau), hãy nhớ rằng mọi bảo vệ SSL miễn phí thường chỉ được xác thực tên miền (nghĩa là tùy chọn kém an toàn nhất). Dưới đây là so sánh các loại chứng chỉ SSL để cung cấp cho bạn ý tưởng về giá cả, tính năng và mức độ bảo mật được cung cấp.

Như bạn có thể thấy, chỉ kích hoạt HTTPS trên trang web của bạn là không đủ . Nếu bạn đã tải nội dung hỗn hợp qua kết nối HTTPS an toàn, bạn sẽ tiếp tục nhận được cảnh báo nội dung hỗn hợp hoặc không an toàn và đẩy mọi người đi. Vì vậy, hãy dành thời gian để kiểm tra và giám sát trang web của bạn cho nội dung không an toàn. Vì bạn có thể đặt cược rằng mặc dù một số khách truy cập trang web vẫn có nguy cơ truy cập trang web của bạn với các cảnh báo nội dung hỗn hợp, các trình duyệt phổ biến như Chrome sẽ tiếp tục đàn áp các trang web không an toàn và ngăn người dùng tham gia với họ theo cách bạn muốn Tương lai.

bình luận

Leave a Comment