Régler le problème du contenu mixte dans un site web

À partir de Firefox 23, Firefox bloque par défaut le contenu mixte actif. Ce que font également Internet Explorer (depuis la version 9) et Chrome.

Cette page vous explique à quoi vous devez être attentif en tant que développeur web.

Votre site web risque d'être « cassé »

Si votre site web propose des pages HTTPS, tous les contenus mixtes actifs proposés via HTTP sur ces pages seront bloqués par défaut. Par conséquent, votre site web apparaîtra cassé aux utilisateurs (si les iframes ou les plugins ne se chargent pas, etc.). Les contenus mixtes passifs seont affichés par défaut, mais les utilisateurs peuvent choisir l'option de bloquer également ce type de contenus.

Remarque : comme les contenus mixtes sont déjà bloqués par Chrome et Internet Explorer, si votre site fonctionne avec ces deux navigateurs, il y a de grandes chances qu'il fonctionne également avec Firefox avec le blocage du contenu mixte.

Dans tous les cas, le meilleur moyen de savoir si quelque chose est cassé avec Firefox c'est de télécharger la dernière version Developer Edition (anciennement Aurora), d'ouvrir diverses pages de votre site web en activant la console web (activez-la à partir des messages de sécurité) et de regarder si elle signale des problèmes de contenus mixtes. Vous pouvez aussi utiliser un sytème d'analyse en ligne comme SSL-check qui parcourt tout votre site web de façon récursive et détecte les liens vers du contenu non sûr. Si aucune alerte à du contenu mixte n'apparaît, votre site web est en bonne santé : bravo et continuez à produire des sites web de bonne qualité !

Comment régler le problème

Le meilleur moyen d'éviter le blocage du contenu mixte c'est de proposer l'intégralité de vos contenus via le protocole HTTPS au lieu d'HTTP.

Pour votre propre domaine, diffusez tous les contenus en HTTPS et modifiez vos liens. Il arrive souvent que la version HTTPS du contenu existe déjà et qu'il suffise d'ajouter un « s » au lien : http:// devient https://.

Pour un autre domaine, utilisez la version HTTPS si elle est disponible. Si ce n'est pas le cas, vous pouvez essayer de contacter l'administrateur du domaine et lui demander de rendre ses contenus disponibles via HTTPS.

D'une manière générale, remplacez les appels vers vos ressources externes de type : http://ma.ressource.externe.tld/ficher.ext en retirant le « http » et en ne laissant que : //ma.ressource.externe.tld/ficher.ext permet au site hébergeant de gérer lui-même le chargement de ressources de manières sécurisées le cas échéant.

Étiquettes et contributeurs liés au document

Étiquettes : 
 Contributeurs à cette page : Nolwennig, SphinxKnight, Goofy
 Dernière mise à jour par : Nolwennig,