Comment savoir exactement quels éléments non sécurisés amènent un navigateur à avertir des éléments mixtes sécurisés et non sécurisés?

J'ai trouvé que j'obtiens l'avertissement "contenu mixte" dans Chrome même lorsqu'il n'y a pas de contenu mixte, si parfois au cours de la session, un contenu mixte était déjà rencontré sur le domaine.

(Également mentionné ici: Pourquoi Chrome signale-t-il un avertissement sécurisé/non sécurisé quand aucun autre navigateur ne l'est pas? )

Dans les outils de développement de Chrome, l'onglet Console affiche les ressources qu'il ne chargera pas car elles ne sont pas sécurisées.

Vous pouvez ajouter la colonne "schéma" à l'onglet réseau des outils de développement Chrome pour afficher les demandes envoyées via http ou https:

1. Appuyez sur F12 pour afficher les outils de développement
2. Passer à l'onglet Réseau
3. Faites un clic droit dans les en-têtes de colonne et sélectionnez "Schéma"
4. Rechargez la page pour afficher les éléments chargés sur http ou https

Dans des situations comme celle-ci où il est utile de voir exactement quel protocole est utilisé pour charger les ressources, je recommanderais Fiddler2 comme une solution indépendante du navigateur qui peut vous montrer exactement quel trafic se produit à chaque demande.

Depuis le site:

Fiddler est un proxy de débogage Web qui enregistre tout le trafic HTTP (S) entre votre ordinateur et Internet. Fiddler vous permet d'inspecter tout le trafic HTTP (S), de définir des points d'arrêt et de "tripoter" les données entrantes ou sortantes. Fiddler comprend un puissant sous-système de script basé sur les événements et peut être étendu à l'aide de n'importe quel langage .NET.

Edit : Les outils de débogage dans le navigateur deviennent vraiment bons, donc cet outil tiers peut ne pas être aussi utile qu'il l'était lorsque cette réponse a été écrite pour la première fois.

Dans la version 48-ème de chrome ils ont ajouté un panneau de sécurité . En l'utilisant vous peut identifier rapidement les ressources de contenu mixte:

Ouvrez l'inspecteur Web et trouvez le triangle jaune (avertissement) en haut à droite. Cliquez dessus et il affichera tous les problèmes de sécurité.

Avez-vous le plugin HttpFox pour FireFox? Ça marcherait, je pense. Entre autres, il rend compte de l'URL, de la méthode, du code de résultat et des octets de tous les actifs qu'une page Web demande. C'est ce que j'ai utilisé pour piéger le graphique occasionnel non HTTPS, etc. Je suis sûr que les autres outils suggérés feraient de même ...

Vous pouvez utiliser SslCheck

Il s'agit d'un outil en ligne gratuit qui explore un site Web de manière récursive (en suivant tous les liens internes) et recherche les éléments non sécurisés - images, scripts et CSS.

(Avertissement: je suis l'un des développeurs)

Je sais que ce message est ancien, mais je l'ai rencontré et j'ai eu le même problème. J'ai cliqué sur le menu Chrome (coin supérieur droit), fait défiler vers le bas jusqu'à Outils> et sélectionné Outils de développement. J'ai cliqué sur l'onglet Console et il m'a dit exactement quel était le problème ... le favicon a été servi sur http, pas https, mais bien sûr il n'était pas dans le code source de la page. Correction du problème dans mon CMS, qui charge le favicon sans code dans la page ... et plus d'erreur!

Notez que "contenu mixte" et "script mixte" sont détectés séparément. Consultez ce site pour connaître la signification des icônes dans Chrome: https://support.google.com/chromebook/answer/95617?p=ui_security_indicator&rd=1 (cliquez sur le lien "voir les détails").

Icône grise = contenu mixte, icône rouge = script mixte.