混合内容的类型

主要有两种类型的混合内容:混合被动/显示内容和混合活动内容。区别在于最坏情况的危险级别,假如内容重写是中间人攻击的一部分。在被动内容的情况下,威胁很低(网页可能出现损坏或误导性的内容)。在活动内容的情况下,威胁会导致网络钓鱼、敏感数据披露,重定向到恶意网站,等等。

混合被动/显示内容

混合的被动/显示内容是:使用HTTP的内容包含在一个HTTPS页面内,但它不能改变网页的其他部分。例如,攻击者可以用一个不适当的图像或消息 替换网页中一个使用HTTP的图像。攻击者也可以通过提供给用户的图像推断出用户的活动状况;某些图像往往只会在一个网站的一个特定页面上。如果攻击者观 察到用户以HTTP请求这些图像,他就可以确定用户正在访问哪些网页。

被动内容列表

本节列出了所有类型的HTTP请求被认为是被动的内容:

(src attribute)

(src attribute)

(src attribute)

subresources (when an performs HTTP requests)

混合活动内容

混合活动内容是:访问全部或部分HTTPS页面文档对象模型的内容。这种类型的混合内容可以改变HTTPS页面的行为并可能向用户窃取敏感数据。因此,除了上述混合显示内容所描述的风险,混合活动内容还很容易受到其他一些攻击向量的攻击。

在混合活动内容情况下,中间人攻击者可以拦截HTTP请求的内容。攻击者也可以重写响应来包含恶意的JavaScript代码。恶意的活动内容可以窃取用户的凭据,获得关于用户的敏感数据,甚至在用户的系统上安装恶意软件(例如,通过浏览器漏洞或插件)。

混合内容的风险取决于用户访问网站的类型和网站数据暴漏的的敏感程度。网页可能有公共访问数据或需有通过身份验证的私有数据。如果网页是公开的并且 没有关于用户的敏感数据,使用混合活动内容仍可能为攻击者提供将用户重定向到其他HTTP页面并从那些网站上窃取HTTP cookie的机会。

活动内容列表

本节列出了一些类型的被认为是活动内容的HTTP请求:

(href attribute) (this includes CSS stylesheets)

XMLHttpRequest object requests

(src attributes)

All cases in CSS where a url value is used (@font-face, cursor, background-image, etc.)

(data attribute)

php mixed约束,Mixed Content: 混合被动/显示内容和混合活动内容相关推荐

  1. php 微信上传多图片不显示不出来,php - 微信群发图文,content中图片显示不出

    ringa_lee2017-04-10 17:57:191楼 content里面的图片也需要上传到微信服务才能显示出来,可以用正则匹配出来图片,上传一下换取微信的地址. 具体的可以参照下边这个方法 p ...

  2. 为什么我突然在Firefox中出现“阻止加载混合的活动内容”的问题?

    本文翻译自:Why am I suddenly getting a "Blocked loading mixed active content" issue in Firefox? ...

  3. struts2在页面显示网页编辑器发布的内容

    作者:yan struts2在页面显示网页编辑器发布的内容,<s:property 要加 escape="false" ,如下: <s:property value=& ...

  4. jQuery便利多个相同的class,点击显示隐藏图标,显示及隐藏其下的内容

    这里使用了bootstrap 而jQuery的遍历标签 each 和事件hide().show().toggle(); 直接上代码: <!DOCTYPE html> <html la ...

  5. 在 html 中用加色法混合颜色,加色混合是()的混合

    相关题目与解析 什么是加色混合,减色混合? 色光的混合是加色法混合. 色的混合形式有:加色混合.中间混合.减色法混合.() 在加色法混合时,混合的色光越多,混合光(). 加色混合也称色光的混合,红.绿 ...

  6. vc显示html文档,VC++ 显示内存中地HTML内容

    IE WebControl控件提供了显示HTML的功能,但是只能够显示URL或者是文件.很多朋友都询问关于显示内存中HTML内容的方法,前几天我在网上找到一段代码,我在这里进行一些讲解. 思路: 先用 ...

  7. pandas使用set_table_attributes函数、display_html函数等在jupyter notebook中并排显示两个dataframe的内容(side by side)

    pandas使用set_table_attributes函数.display_html函数等在jupyter notebook中并排显示两个dataframe的内容(side by side) 目录

  8. 火狐已阻止载入混合活动内容“http://www.XXX/index.php?app=serviceac=authts=isauthurl=...

    为什么80%的码农都做不了架构师?>>>    已 阻止载入混合活动内容"http://www.hoolai.com/index.php?app=service&a ...

  9. linux vim 高亮查找,vim技巧:用列表形式显示所有搜索到的内容,去掉搜索内容的高亮...

    本篇文章介绍 vim 的一些使用技巧: 用列表形式显示所有搜索到的内容 去掉搜索内容的高亮 用列表形式显示所有搜索到的内容 vim 在文件内用 / 或者 ? 进行查找,不会列出所有查找到的内容,需要通 ...

最新文章

  1. 自动驾驶QNX,Linux,Autosar概述
  2. redis 支持 json_项目开发中如何使用redis-dump进行Redis数据库合并?
  3. mysql实时读写_[DataBase] MySql 查看实时日志
  4. HDU 3001 Travelling
  5. Docker最全教程之树莓派和Docker(十六)
  6. maven provided_Maven 教程之 pom.xml 详解
  7. 今天是 OSChina 上线 6 周年!
  8. Objective C运行时(runtime)技术总结,好强大的runtime
  9. 洛谷——P1657 选书
  10. SpringBoot之集成MybatisPlus
  11. 新手redis集群搭建
  12. shell脚本批量创建用户
  13. 怎样解决CMD命令行窗口中文乱码问题
  14. 国内使用bing国际版(非国内国际切换版本)
  15. R语言 第2章 数据对象与数据读写(2)
  16. you-get下载优酷视频报错:用户账户异常、请重新登录
  17. JavaScript函数isFinite()
  18. 【天光学术】学前教育论文:幼儿园区角活动中存在的问题及有效对策(节选)
  19. 无线华为能连苹果不能连接到服务器,华为网络正常app连不上网络
  20. LuckyExcel预览excel

热门文章

  1. JavaScript:年月日時分秒設置
  2. C# ITextSharp pdf 自动打印
  3. python循环小练习
  4. poj2186【利用强连通分量】
  5. 走进AngularJs(七) 过滤器(filter) - 吕大豹
  6. Struts2框架中s:if标签和s:set标签小结
  7. [转]Vector、ArrayList和hashtable hashmap数据结构
  8. MySQL史上最快逻辑备份工具
  9. Python办公自动化(二)|从Excel到Word
  10. Linux 大文件快速处理小的办法