ارور content mixed پس از نصب ssl چیست + راه حل رفع آن

Q: ارور Mixed Content دقیقا چیست؟

ارور Mixed Content زمانی رخ میدهد که یک صفحهی HTTPS منابعی مانند عکس، اسکریپت یا استایل را از آدرس HTTP بارگذاری کند که باعث ایجاد ناامنی در ارتباط میشود.

Q: چرا ارور Mixed Content خطرناک است؟

چون باعث میشود محتوای صفحه از یک منبع ناامن بارگذاری شود که میتواند زمینهساز حملات امنیتی مثل سرقت داده یا تزریق کد مخرب شود.

مجله دولوپ

با رشد اهمیت امنیت اطلاعات در فضای وب، استفاده از گواهی‌های SSL به یک ضرورت تبدیل شده است. با این حال، پس از نصب این گواهی‌ها، گاهی اروری به نام “Mixed Content” یا “محتوای ترکیبی” ظاهر می‌شود که ممکن است امنیت سایت را کاهش داده یا از بارگذاری صحیح صفحات جلوگیری کند.

این مقاله از سایت دولوپ، به بررسی علل بروز این ارور، نحوه شناسایی آن و راهکارهای عملی برای رفع مشکل پس از نصب SSL می‌پردازد.

ارور content mixed چیست؟

ارور Mixed Content یا “محتوای ترکیبی” زمانی رخ می‌دهد که یک صفحه ی وب که با پروتکل HTTPS بارگذاری شده، تلاش می‌کند محتوایی مانند اسکریپت‌ها، تصاویر، ویدیوها یا فایل‌های CSS را از منابعی با پروتکل HTTP بارگذاری کند.

این وضعیت باعث نقض امنیت می‌شود. زیرا پروتکل HTTP رمزنگاری نشده و می‌تواند اطلاعات را در معرض شنود یا دستکاری قرار دهد.

مرورگرهای مدرن مثل گوگل کروم، فایر فاکس و سافاری، این محتوا را مسدود می‌کنند یا هشداری امنیتی نمایش می‌دهند تا از کاربر در برابر تهدیدات احتمالی محافظت کنند.

برای رفع این خطا، باید تمام منابع خارجی صفحه را نیز با پروتکل HTTPS بارگذاری کنید تا امنیت اتصال به‌طور کامل حفظ شود. اگر قصد رفع خطای کانتنت میکس پس از نصب اس اس ال را دارید، این راهنما می‌تواند موجب حل مشکل شما شود.

Mixed Content Error چه زمانی رخ می‌دهد؟

این خطا زمانی رخ می‌دهد که در دل یک صفحه‌ای که با HTTPS بارگذاری شده، برخی منابع فرعی مانند فایل‌های جاوااسکریپت، فونت‌ها، تصاویر یا ویدیوها، هنوز از طریق HTTP فراخوانی شوند.

این عدم تطابق میان پروتکل‌های امن و ناامن باعث می‌شود که مرورگر به آن به چشم یک تهدید امنیتی نگاه کند، زیرا امکان شنود یا دستکاری داده های نا امن همچنان وجود دارد.

چنین مشکلی معمولا نشانه‌ای از ناسازگاری های پنهان در ساختار بارگذاری منابع وبسایت است و نیاز به بررسی عمیق‌تر نحوه آدرس‌دهی و تنظیمات پروژه دارد.

دلایل بروز ارور content mixed پس از نصب ssl

قبل از بررسی این موضوع، لازم است بدانیم خطای SSL چیست و چرا می‌تواند بر امنیت و عملکرد سایت تاثیر بگذارد. پس از نصب موفق گواهینامه SSL و فعالسازی پروتکل HTTPS بر روی وب‌سایت، انتظار می‌رود که تمام داده‌ها به‌صورت رمزنگاری شده بین مرورگر و سرور رد و بدل شوند.

با این حال، در بسیاری از موارد، حتی پس از نصب SSL هم ارور Mixed Content یا محتوای ترکیبی ظاهر می‌شود.

این ارور همانطور که گفتیم به دلیل بارگذاری منابعی در صفحه وب رخ می‌دهد که همچنان از طریق HTTP بارگیری می‌شوند. در حالی که صفحه اصلی با HTTPS فراخوانی شده است.

این مغایرت امنیتی می‌تواند منجر به هشدارهای مرورگر و در برخی موارد، جلوگیری از بارگذاری صحیح برخی عناصر صفحه شود.

آدرس دهی سخت کد شده (Hardcoded URLs)

در بسیاری از پروژه‌های وب، آدرس منابع (مانند تصاویر، اسکریپت‌ها، فایل‌های CSS، فونت‌ها و ویدیوها) به صورت مستقیم و با استفاده از پروتکل HTTP در کد HTML، CSS یا JavaScript نوشته شدند.

پس از فعال‌سازی SSL، اگر این آدرس‌ها به‌روزرسانی نشوند و همچنان از نسخه‌ی بدون رمزنگاری (HTTP) استفاده کنند، مرورگر تشخیص می‌دهد که صفحه‌ی HTTPS سعی دارد محتوایی غیرامن را بارگذاری کند و هشدار Mixed Content را نمایش می‌دهد.

این مشکل بیشتر در وبسایت هایی که با CMSهای رایجی مثل وردپرس ساخته شدند شایع است. زیرا قالب ها و افزونه‌های وردپرسی ممکن است حاوی لینک های سخت کد شده ای باشند که نیاز به تصحیح دارند.

استفاده از منابع خارجی بدون HTTPS

در بسیاری از سایت‌ها، منابع خارجی از سایت های شخص ثالث بارگذاری می‌شوند. مثلا فونت های گوگل، کتابخانه های jQuery از CDNهای عمومی یا ویدیوهایی از سایت هایی مانند Vimeo یا DailyMotion.

اگر این منابع خارجی از آدرس هایی استفاده کنند که از پروتکل HTTPS پشتیبانی نمی‌کنند یا به‌صورت پیش‌فرض از HTTP استفاده می‌کنند، بارگذاری آن‌ها باعث ایجاد ارور محتوای ترکیبی خواهد شد.

الباته برخی از CDNهای قدیمی یا منابعی که به‌روزرسانی نشدند هم ممکن است هنوز از HTTP استفاده کنند و نیاز به جایگزینی یا اصلاح داشته باشند.

تنظیمات ناقص یا ناهماهنگ CMS یا فریم ورک

در مواردی که از سیستم‌های مدیریت محتوا (CMS) یا فریم‌ورک‌های توسعه استفاده می‌شود، ممکن است تنظیمات داخلی همچنان به‌گونه‌ای باشد که URLهای اصلی سایت یا مسیر منابع را با HTTP نگه دارند.

برای مثال، در وردپرس اگر آدرس “Site URL” و “WordPress Address” در تنظیمات به HTTP باقی مانده باشند، سایت ممکن است همچنان منابع را به‌صورت نا امن بارگیری کند.

این مشکل در فریمورک‌هایی مانند Laravel، Django یا Symfony نیز ممکن است با تنظیمات نادرست یا کش‌شده‌ی URLها رخ دهد. اصلاح تنظیمات پیکربندی، به‌روزرسانی پایگاه داده و پاک‌سازی کش می‌تواند برای حل این مشکل لازم باشد.

کش مرورگر یا کش سرور

یکی دیگر از دلایلی که ممکن است پس از نصب SSL همچنان ارور Mixed Content دیده شود، کش شدن نسخه‌ی قدیمی منابع توسط مرورگر یا سیستم کش سرور (مانند Varnish Redis یا افزونه‌های کش وردپرس) است.

در این موارد، اگرچه منابع به‌روزرسانی شده‌اند و نسخه‌ی HTTPS در دسترس است، ولی مرورگر همچنان نسخه ی قدیمی و نا امن را بارگذاری می‌کند.

برای رفع این مشکل، باید کش مرورگر پاک‌سازی شود و در صورت استفاده از سیستم‌های کشینگ سمت سرور، آن‌ها نیز بازسازی یا تخلیه شوند تا نسخه‌ی جدید بارگیری گردد.

اسکریپت های جاوا اسکریپت تولید کننده محتوا

فکر کردید دلایل بروز خطای content mixes تمام شده؟ اشتباه میکردید! چون اسکریپت های جاوا اسکریپت هم دلیل دیگری هستند که منجر به بروز این خطا می‌شوند.

این اسکریپت ها به صورت داینامیک محتوایی تولید می‌کنند که شامل لینک‌ها یا منابع است. اگر این اسکریپت‌ها از HTTP استفاده کنند یا پروتکل را مشخص نکنند، مرورگر ممکن است محتوا را نا امن تلقی کند.

برای مثال، اگر از متدهایی مانند document.write() یا innerHTML برای درج منابع استفاده شود و URLها به صورت دستی وارد شده باشند، ارور Mixed Content رخ خواهد داد.

پس بررسی کدهای جاوا اسکریپت سمت کلاینت و اطمینان از استفاده از HTTPS یا پروتکل نسبی (مانند //example.com) می‌تواند به حل این مشکل کمک کند.

افزونه‌ها یا ابزارهای شخص ثالث

بعضی از افزونه‌ها، ویجت‌ها یا اسکریپت های شخص ثالث مانند چت آنلاین، فرم‌های تماس یا ابزارهای تحلیل آمار هم هستند که ممکن است منابعی را از دامنه های نا امن بارگذاری کنند.

یعنی حتی اگر وب سایت شما به طور کامل با HTTPS کار کند، یا اگر افزونه‌ای به صورت پیش فرض منابعی با HTTP را بارگذاری کند، موجب Mixed Content خواهد شد.

پس برای حل این مشکل، باید افزونه‌ها را به‌روزرسانی کرده یا جایگزین‌های سازگار با HTTPS آن‌ها را انتخاب کرد.

نحوه رفع و حل ارور content mixed پس از نصب ssl

ابتدا باید مشخص شود کدام منابع باعث ایجاد ارور شدند. این کار با استفاده از ابزار DevTools مرورگر (تب Console یا Network) انجام می‌شود.

در این بخش، مرورگر دقیقا نشان می‌دهد که کدام فایل (عکس، اسکریپت، CSS، ویدیو، iframe و…) از طریق HTTP بارگذاری شده است.

در کدهای HTML ، CSS یا جاوا اسکریپت اگر لینک‌هایی وجود دارد که به‌صورت http:// نوشته شدند، باید به https:// تغییر داده شوند.

اگر سایت شما از CMS استفاده می‌کنند (مثل وردپرس، جوملا، دروپال)، احتمالا نیاز به به روز رسانی مستقیم در دیتابیس پیدا خواهید کرد.

در بسیاری از موارد هم به جای استفاده از http:// یا https://، می‌توان از URL نسبی یا مستقل از پروتکل استفاده کرد.

بروز رسانی آدرس اصلی سایت در تنظیمات

در CMSهایی مثل وردپرس، شما باید آدرس اصلی سایت (site URL) را به نسخه HTTPS تغییر دهید.

این کار از بخش تنظیمات یا مستقیم از دیتابیس (wp_options) انجام می‌شود. همچنین باید قالب‌ها و افزونه‌ها بررسی شوند تا منابع آن‌ها از آدرس نا امن استفاده نکرده باشند.

بازنویسی آدرس ها در پایگاه داده

اگر تعداد زیادی محتوا با لینک‌های HTTP در دیتابیس ثبت شده باشد (مثلا نوشته ها، صفحات یا محتوای پویا)، استفاده از ابزارهایی مانند Search & Replace برای تغییر انبوه URLها به HTTPS ضروری است.

در وردپرس می‌توان از افزونه‌هایی مانند “Better Search Replace” یا ابزارهای CLI مانند WP-CLI هم استفاده کرد.

بررسی افزونه ها، ویجت ها و فایل‌های خارجی

افزونه‌های شخص ثالث، ابزارهای چت، آنالیتیکس، نقشه‌ها و دیگر سرویس‌هایی که از منابع خارجی استفاده می‌کنند نیز باید بررسی شوند. در صورتی که این منابع از HTTPS پشتیبانی نمی‌کنند، باید حذف یا با نسخه امن جایگزین شوند.

پاک‌سازی کش و CDN

پس از اعمال تغییرات، باید کش مرورگر، کش سرور و هر سیستم CDN (مثل Cloudflare، BunnyCDN یا AWS CloudFront) که محتوا را ذخیره کردند، پاک‌سازی (purge) شوند تا نسخه بروزرسانی شده سایت بارگذاری شود.

بسیاری از مشکلات Mixed Content ناشی از کش منابع قدیمی است.

تنظیم ریدایرکت اجباری به HTTPS

برای اطمینان از اینکه کاربران همیشه نسخه امن سایت را مشاهده می‌کنند، باید ریدایرکت دائمی از HTTP به HTTPS انجام شود.

این کار معمولا از طریق فایل .htaccess، تنظیمات سرور (مانند Nginx یا Apache)، یا در تنظیمات CDN انجام می‌شود.

استفاده از HSTS (در صورت نیاز)

برای جلوگیری از هرگونه دسترسی آینده به نسخه HTTP سایت، می‌توان از هدر HSTS استفاده کرد که به مرورگر دستور می‌دهد همیشه از HTTPS استفاده کند.

رفع ارور content mixed با تیم حرفه ای دولوپ

رفع ارور Mixed Content در یک وبسایت فعال با SSL، اگر توسط یک تیم توسعه دهنده حرفه‌ای مانند تیم تخصصی دولوپ انجام شود، می‌تواند به‌صورت ساختاری، دقیق و پایدار صورت گیرد.

در این فرآیند، تیم ما بسته به تکنولوژی های استفاده شده در سایت شما، ابزارهای مدیریت محتوا، فریم ورک‌ها و معماری سایتتان این کار را انجام می‌دهد.

دولوپ مرجعی برای رفع سریع خطا با مناسب ترین راهکارها است.

خدمات تخصصی وبسایت

ارائه مشاوره و کلیه خدمات وردپرس

برای دریافت مشاوره خدمات با ما ارتباط بگیرید

021 - 9169- 2312 0920 - 565 - 0 545 ارتباط در تلگرام ارتباط در واتس‌اپ

سخن پایانی

ارور Mixed Content پس از نصب SSL نشانه ای از ناسازگاری میان پیاده سازی لایه امن و نحوه بارگذاری منابع وب‌سایت است. این مشکل اگرچه در ظاهر ساده به نظر می‌رسد، اما می‌تواند ریشه در ساختار کد، تنظیمات سرور، افزونه‌ها یا حتی محتوای پایگاه‌داده داشته باشد.

حل کامل آن هم نیازمند بررسی دقیق و اصلاح همه مسیرهای بارگذاری منابع به صورت یکپارچه با HTTPS است. توجه به جزئیاتی مانند کش، CDN و استفاده از URLهای مستقل از پروتکل در کنار تست‌های نهایی دقیق، از جمله اقدامات ضروری برای تثبیت امنیت واقعی وب‌سایت در برابر تهدیدات محتوای ناامن محسوب می‌شود.

سوالات مربوط به ارور Mixed Content

ارور Mixed Content دقیقا چیست؟

ارور Mixed Content زمانی رخ می‌دهد که یک صفحه‌ی HTTPS منابعی مانند عکس، اسکریپت یا استایل را از آدرس HTTP بارگذاری کند که باعث ایجاد ناامنی در ارتباط می‌شود.

چرا ارور Mixed Content خطرناک است؟

چون باعث می‌شود محتوای صفحه از یک منبع ناامن بارگذاری شود که می‌تواند زمینه‌ساز حملات امنیتی مثل سرقت داده یا تزریق کد مخرب شود.