De meeste websites bevatten lokale content en content van externe bronnen. De lokale content is bijvoorbeeld de code van jouw website en de afbeeldingen die je lokaal bewaart. Andere afbeeldingen, video’s, stylesheets en scripts kunnen van een externe bron afkomstig zijn.
Mixed content is een probleem dat optreedt wanneer een website inhoud weergeeft die werd bekomen over een mix van beveiligde (https) zowel als onbeveiligde (http) verbindingen. Het komt vaak voor dat een website met een SSL-bescherming en een HTTPS URL toch een deel van zijn inhoud -afbeeldingen, stylesheets of scripts- gaat ophalen over een niet-beveiligde verbinding.
Waarom moet je mixed content vermijden?
- De browser van de bezoeker zal de website niet als veilig markeren, alhoewel die via HTTPS gebracht wordt.
- Jouw beveiligingsniveau kan gedowngraded worden. Zoekmachines zoals Google houden bijvoorbeeld rekening met het beveiligingsniveau van een website. Daarom kan dit jouw zoekresultaten schaden.
- Beveiligde bronnen (HTTPS) geven de gebruiker het vertrouwen dat de beheerder geauthenticeerd is, en dat er niet geknoeid werd met de broncode.
Hoe kan je jouw content controleren op onbeveiligde bronnen?
Manueel al jouw content nalopen op gemengde bronnen of mixed content, zal veel tijd vergen en moeilijk zijn – voor grotere websites zelfs haast onmogelijk. Gelukkig geven de meeste browsers in de JavaScript console een waarschuwing voor mixed content. Zo vind je de JavaScript console bij de meest gebruikte browsers:
Chrome
Open de console vanuit het menu Beeld
Ga naar Beeld >> Developer >> JavaScript Console.
Safari
Ga naar Develop >> JavaScript Console.
Mozilla FireFox
Ga naar Extra >> Webontwikkelaar >> Webconsole
Zodra je vastgesteld hebt welke bronnen via HTTP opgehaald worden, dien je ervoor te zorgen dat zij voortaan HTTPS gaan gebruiken.