27. Okt 2014

Inhalte korrekt in eine sichere Webseite einbetten

Verfasst von

Hat man schon einmal eine eigene Homepage erstellt oder surft viel im WWW, sieht man früher oder später Warnungen folgender Art „Unsichere Inhalte werden blockiert.“ „Diese Seite enthält unsichere Inhalte.“ Diese werden abhängig vom jeweiligen Browser unterschiedlich dargestellt. Und verunsichern viele Nutzer.

Hier findet Ihr eine Anleitung, die euch dabei hilft, diese Warnungen auf euren eigenen Seiten zu vermeiden.

Visuelle Warnungen in verschiedenen Browsern

Internet Explorer
Nur sichere Inhalte werden angezeigt
Chrome
mixed-content-chrome-passive-displayed
Firefox
mixed-content-ff-displayed

Begrifflichkeiten

Unsicherer/gemischter Inhalt

… bezeichnet Ressourcen, wie Bilder oder Medien, auf verschlüsselten Webseiten, die unverschlüsselt übertragen werden.

Diese Inhalte erzeugen i.a. nur Warnungen, werden aber z.B. in Chrome, Safari und Firefox angezeigt.

Beispiel

Auf einer Webseite, die über https:// aufgerufen wird, könnte sich folgendes Bild befinden: <img src="http://uni-halle.de/im/sod/common/img/signet_center.jpg" alt="Schriftzug der Martin-Luther-Universtät Halle-Wittenberg" />

Unsicherer, aktiver Inhalt

… ist eine spezielle Variante, bei der die Quelle des Inhalts mittels Variablen in ihrer Adresse referenziert werden, oder solche, die per Script- oder Frame-Element eingebunden werden

Diese Inhalte werden i.a. komplett geblockt.

Beispiel

Auf einer Webseite, die über https:// aufgerufen wird, könnte eine Schriftart wie folgt eingebunden werden: <link rel="stylesheet" id="droidsans-css" href="http://fonts.googleapis.com/css?family=Droid+Sans" type="text/css" media="all">

Lösungsansätze

Allgemein gilt: Sollen Inhalte des gleichen Servers eingebunden werden, kann man http[s]://{servername} weglassen, sodass man nur noch die Resourcen mit vorangehendem Slash („/“) benennen muss.

Inhalte externer Seiten sollten nach Möglichkeit protokoll-frei (ohne „http:“ oder „https:“) eingebunden werden. Das Ergebnis wäre dann eine URL der Art //glauben.uni-halle.de/kontakt. Das Protokoll wird dann vom Browser definiert, abhängig davon, wie auf die eigentliche Seite zugegriffen wird. Voraussetzung dafür ist aber, dass die eingebundene Quelle sowohl über https als auch http die gleichen Inhalte liefert.

Zusätzlich muss man für aktive Inhalte, von anderen Servern seitens des eigenen Webseiten-Servers einen entsprechenden Header mitsenden, der den anderen Server erlaubt.

Verweise

Über Robert Jäckel

  • Mitarbeiter/in
  • Team
  • Blogs@MLU Team

Trackbacks/Pingbacks

  1. Umstellung der zentralen Webseiten auf https | ITZ Blog