Mixed Content erkennen und bereinigen


Erkennt der Browser Ihre Seite als nicht sicher, obwohl Sie ein SSL-Zertifikat und die notwendige Weiterleitung auf HTTPS eingerichtet haben? Dann könnte es sich um «Mixed Content» handeln.

Wie erkenne ich Mixed Content?

Browser in den aktuellsten Versionen weisen meist nicht mehr direkt auf Mixed-Content hin. Unsichere Ressourcen werden geblockt, die Seite wird aber dennoch als sicher angezeigt. Einzig Firefox und Opera liefern über die Adresszeile einen Hinweis. Bei Firefox wird folgenden Hinweis mit einem klick auf das Schloss-Symbol angezeigt.

Warnhinweis für Mixed-Content in Firefox
Warnhinweis für Mixed-Content in Firefox

Am einfachsten lässt sich die Ursache für die Mixed Content-Warnung mit Hilfe der eingebauten Entwickler-Tools erkennen. Wenn Sie die Entwickler-Tools im Browser Ihrer Wahl geöffnet haben, wählen Sie die Option «Konsole». Unsichere Inhalte sind dort, je nach Browser, rot oder gelb markiert.

Aktive und passive Inhalte

Browser unterscheiden zwischen aktiven und passiven Inhalten.

  • Aktive Inhalte sind zum Beispiel Scripts (.js) und Stylesheets (.css), die das Aussehen und die Funktionen der Website verändern können. Aktiver Mixed Content wird von Browsern geblockt und führt dazu, dass Ihre Website im schlimmsten Fall überhaupt nicht lädt. Probleme mit aktivem Mixed Content sollten als erstes gelöst werden.
  • Passive Inhalte sind zum Beispiel Bilder, Videos oder Audiodateien. Sie werden trotz unverschlüsselter Verbindung geladen und beeinträchtigen die Funktionalität einer Website in der Regel nicht.
Hinweise auf blockierte Ressourcenin den Entwickler-Tools von Firefox
Hinweise auf blockierte Ressourcenin den Entwickler-Tools von Firefox

Mixed Content beseitigen

Die Devise ist einfach: Ersetzen Sie alle Pfade, die mit http:// beginnen, mit https://. Je nach eingesetztem Content-Management-System reicht es, wenn Sie den Website-Pfad in der Konfigurationsdatei des Systems anpassen. Sind Pfade absolut in der Datenbank hinterlegt, wie dies bei WordPress der Fall ist, so ist eine Anpassung in der Datenbank notwendig. Unser Artikel «Weiterleitung auf HTTPS einrichten mit WordPress» beschreibt das Vorgehen für WordPress mit Hilfe eines geeigneten Plugins.

Content Security Policy

Content Security Policy (CSP) ist ein Sicherheitskonzept, um das Einschleusen von Daten in Webseiten zu verhindern. Mit Hilfe von CSP lässt sich aber auch Mixed Content auf einer Website finden und unverschlüsselte Verbindungen können auf den verschlüsselten Kanal umgeleitet werden. Das ist besonders bei grossen Websites, an denen viele verschiedene Personen beteiligt sind, hilfreich.

Der Einsatz von CSP für das Beheben von Mixed Content ist auf der Google Developers-Website ausführlich beschrieben. Die dort angegeben Headers können Sie in der .htaccess-Datei auf Ihrem Webhosting mit Hilfe von mod_headers definieren. Einen Endpunkt, an den die Informationen zu gefundenem Mixed Content gesendet werden können, bietet der Dienst report-uri.io.

Weitere Artikel zum Thema Weitere Artikel zum Thema Produkte Weitere Artikel zum Thema Technisches Weitere Artikel zum Thema Scripts & CMS