Mixed Content
Mixed Content liegt vor, wenn eine über HTTPS ausgelieferte Website einzelne Ressourcen (Bilder, Skripte, Stylesheets) über unverschlüsseltes HTTP nachlädt. Dadurch wird der Schutz der HTTPS-Verbindung teilweise aufgehoben — ein Angreifer kann die unverschlüsselten Ressourcen abfangen oder manipulieren.
Aktiver vs. passiver Mixed Content
- Aktiver Mixed Content (Skripte, Stylesheets, iFrames) — Wird von modernen Browsern automatisch blockiert. Kann die Website-Funktionalität beeinträchtigen.
- Passiver Mixed Content (Bilder, Videos, Audio) — Wird geladen, aber der Browser zeigt eine Warnung an. Das Schloss-Symbol in der Adressleiste verschwindet.
Häufige Ursachen
- Hardcodierte
http://-URLs in Templates oder CMS-Inhalten - Externe Ressourcen (CDN, Widgets), die nur HTTP unterstützen
- Ältere Inhalte, die vor der HTTPS-Umstellung erstellt wurden
- CSS mit
url(http://...)für Hintergrundbilder oder Fonts
Was prüft exatics?
Unser Audit erkennt Mixed Content automatisch und unterscheidet zwischen aktivem und passivem Mixed Content. Aktiver Mixed Content wird als schwerwiegender Sicherheitsmangel bewertet, da er die HTTPS-Verschlüsselung effektiv untergräbt.
Häufige Fragen zu Mixed Content
Wie finde ich Mixed Content auf meiner Website?
Öffnen Sie Ihre Website im Browser und drücken Sie F12 für die Entwicklertools. Im Tab Konsole zeigt der Browser Mixed-Content-Warnungen an. Alternativ prüft ein exatics-Audit Ihre Website automatisch und listet alle betroffenen Ressourcen auf.
Kann CSP Mixed Content verhindern?
Ja. Die CSP-Direktive upgrade-insecure-requests weist den Browser an, alle HTTP-Requests automatisch auf HTTPS umzuschreiben. Das behebt Mixed Content ohne Änderungen am HTML-Code — vorausgesetzt, die Ressourcen sind auch über HTTPS erreichbar.