Was ist Mixed Content und wie kann ich ihn verhindern?


«Mixed Content» bezeichnet den Umstand, dass auf einer per HTTPS aufgerufenen Website Inhalte eingebunden sind, die über eine unverschlüsselte HTTP-Verbindung aufgerufen werden. Browser zeigen eine Warnung an und laden gegebenenfalls die eingebundenen Inhalte nicht herunter. Das kann dazu führen, dass eine Website nicht wie gewünscht dargestellt wird.

Wie erkenne ich Mixed Content?

Ob auf einer Website Mixed Content vorhanden ist lässt sich in der Adresszeile des Browsers erkennen. Chrome, Firefox und Safari melden Mixed Content folgendermassen:

Adresszeile in Chrome, Firefox und Safari bei Mixed Content.
Adresszeile in Chrome, Firefox und Safari bei Mixed Content.

Am einfachsten lässt sich die Ursache für die Mixed Content-Warnung in den oben genannten Browsern mit Hilfe der eingebauten Entwickler-Tools erkennen. Wenn Sie die Entwickler-Tools im Browser Ihrer Wahl geöffnet haben, wählen Sie die Option «Konsole». Unsichere Inhalte sind dort, je nach Browser, rot oder gelb markiert.

Aktive und passive Inhalte

Browser unterscheiden zwischen aktiven und passiven Inhalten.

  • Aktive Inhalte sind z.B. Scripts (.js) und Stylesheets (.css), die das Aussehen und die Funktionen der Website verändern können. Aktiver Mixed Content wird von Browsern geblockt und führt dazu, dass Ihre Website im schlimmsten Fall überhaupt nicht lädt. Probleme mit aktivem Mixed Content sollten als erstes gelöst werden.
  • Passive Inhalte sind z.B. Bilder, Videos oder Audiodateien. Sie werden trotz unverschlüsselter Verbindung geladen und beeinträchtigen die Funktionalität einer Website in der Regel nicht.
Rote Warnung = aktive Inhalte, gelbe Warnung = passive Inhalte
Rote Warnung = aktive Inhalte, gelbe Warnung = passive Inhalte

Mixed Content beseitigen

Die Devise ist einfach: Ersetzen Sie alle Pfade die mit http:// beginnen mit https://. Je nach eingesetztem Content-Management-System reicht es, wenn Sie den Website-Pfad in der Konfigurationsdatei des Systems anpassen. Sind Pfade absolut in der Datenbank hinterlegt, wie dies bei WordPress der Fall ist, so ist eine Anpassung in der Datenbank notwendig. Unser Supportcenter-Artikel «Wie stelle ich meine WordPress-Seite auf HTTPS um?» beschreibt das Vorgehen für WordPress mit Hilfe eines geeigneten Plugins.

Content Security Policy

Content Security Policy (CSP) ist ein Sicherheitskonzept, um das Einschleusen von Daten in Webseiten zu verhindern. Mit Hilfe von CSP lässt sich aber auch Mixed Content auf einer Website finden und unverschlüsselte Verbindungen können auf den verschlüsselten Kanal umgeleitet werden. Das ist besonders bei grossen Websites, an denen viele verschiedene Personen beteiligt sind, hilfreich.

Der Einsatz von CSP für das Beheben von Mixed Content ist auf der Google Developers-Website ausführlich beschrieben. Die dort angegeben Headers können Sie in der .htaccess-Datei auf Ihrem Webhosting mit Hilfe von mod_headers definieren. Einen Endpunkt, an den die Informationen zu gefundenem Mixed Content gesendet werden können, bietet der Dienst report-uri.io.

Weitere Artikel zum Thema Technisches Weitere Artikel zum Thema Vor dem Kauf