contenu mixte dans une page https

WRInaute discret
Bonjour à tous,
J'ai (enfin) décidé de migrer en https. Jusque là pas de problème. Activation du certificat SSL etc.. mais le problème est que j'ai pas mal de liens externe vers des pages non sécurisées. Je fais donc un test sur une page contenant ces fameux liens et oh surprise!, cette page reste sécure malgré le contenu mixte.
Ma question: est-il donc possible de proposer du contenu mixte sur un site sécurisé sans être pénalisé?
bon, c'est juste une page, il est possible que les choses soient différentes si toutes les pages proposent du contenu mixte. Avez-vous expérimenté ce genre de situation?
Merci pour vos lumières
 
Olivier Duffez (admin)
Membre du personnel
un lien vers un site externe en http, ce n'est pas du contenu mixte
un contenu mixte correspond à une page HTTPS contenant des ressources HTTP (par exemple une image "non sécurisée", un script, une vidéo, un CSS, je ne sais pas quoi d'autre)
 
WRInaute discret
ok et ça m'arrange bien. Si j'ai bien compris un contenu mixte serait par exemple un lien http vers une image ou une vidéo ou vers un sript externe sur un site non sécurisé?
Autre chose. Quand je tape l'adresse du site monsite.fr dans chrome, le site s'ouvre non sécurisé et le https est absent. Sous firefox le navigateur corrige l'adresse en ajoutant https.
Si je tape sous chrome https://monsite.fr le site apparaît alors comme sécurisé. C'est embêtant si un visiteur tape directement l'adresse du site.
 
Dernière édition:
Olivier Duffez (admin)
Membre du personnel
un contenu mixte serait par exemple un lien http vers
non, ça ne concerne pas les liens (balise <a href>) mais les ressources qui doivent être chargées (par exemple par src= )

ce n'est pas dans chrome ou firefox qu'il faut tester, mais dans un outil d'analyse d'entête HTTP
si la redirection ne se fait pas dans chrome, c'est qu'elle n'est pas mise en place. Il faut bien entendu le faire, c'est indispensable et doit fonctionner pour toutes les URL du site, pas seulement la page d'accueil. Voir mon tuto sur les redirections HTTPS.
si la redirection semble se faire pour firefox, je pense que c'est plutôt que le navigateur trouve l'URL en HTTPS dans l'historique et l'utilise au moment de la saisie dans la barre d'adresses
 
WRInaute discret
Je ne pense pas qu'i s'agisse d'un problème de redirection car j'ai mis en ligne une page test sur un autre serveur et un nouveau ndd. C'était juste pour tester le contenu. Même en vidant le cache de firefox, il complète l'adresse. J'ai mis une page vide en ligne. educscol.fr
reste non sécurisée sous chrome en tapnt directement dans la barre d'adresse!!
 
WRInaute discret
Je viens de tester l'outil d'analyse en entrant educscol.fr:
HTTP/1.1 200 OK
Date: Fri, 22 Jun 2018 09:37:07 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Strict-Transport-Security: max-age=31536000; includeSubdomains; preload
X-Content-Type-Options: nosniff

si je clique sur voir l'url sous firefox, je suis redirigé vers une adresse en https mais sous chrome vers une adresse http. ???
 
Olivier Duffez (admin)
Membre du personnel
voici la liste des éléments à surveiller pour vérifier qu'ils font tous référence à des URL en https (afin d'éviter les contenus mixtes actifs) :
  • <script> (attribut src)
  • <link> (attribut href) (ceci inclut les feuilles de style CSS)
  • <iframe> (attribut src)
  • <object> (attribut de données)
  • Tous les cas dans les CSS où une valeur d'URL est utilisée (@ font-face, cursor, background-image, etc.)
  • Requêtes XMLHttpRequest
 
WRInaute discret
j'ai bien lu l'article sur les redirections https. j'ai donc mis un dossier .htaccess contenant:
Code:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.educscol.fr/$1 [R,L]

mais voilà ça tourne en boucle et message d'erreur du navigateur.
Voila ce que dit nuxit pour les redirections:
Attention, il est important que les 2 sites soient bien reliés à 2 hébergements distincts, ou à défaut, à 2 dossiers distincts au sein du même hébergement. Si les 2 sites pointent vers le même dossier du même hébergement, alors vous allez créer une boucle infinie!
et c'est ce qui se passe. Je ne sais pas si la redirection est bien formulée dans le htaccess. Si je dois faire des redirections 301 pour chaque page...:(
 
WRInaute discret
bon, après pas mal de galères et de recherche, j'ai enfin trouvé quoi mettre dans mon htaccess:
Code:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond !{HTTPS} off
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
Testé et tout roule plus de boucle de redirection et redirection en www. Si ça peut servir à qq qui rencontre le même problème...:)
 
Discussions similaires
Haut