Проверяйте источник до замены протокола

Исправьте HTTP-ресурсы без потери функций

Соберите точные URL из браузера, сохраните резервную копию и проверьте HTTPS-версию каждого источника. Исправляйте шаблон, CSS или данные CMS, а затем тестируйте страницу целиком.

Процесс исправления mixed content: найти HTTP-ресурс, проверить HTTPS, заменить и протестировать
Найти → проверить безопасный источник → заменить → протестировать.

Сообщение разработчику

«Сохраните резервную копию и список mixed-content запросов из Console и Network. Для каждого URL проверьте доступность и корректность HTTPS, затем исправьте первоисточник в шаблоне, CSS, JavaScript или данных CMS. Если HTTPS нет, предложите локальное хранение с учётом лицензии, замену поставщика или удаление. После публикации проверьте Console, формы, медиа, аналитику и мобильную версию».

Что подготовить

  • резервную копию файлов, базы и конфигурации CDN;
  • список контрольных страниц и действий пользователя;
  • доступ к тестовой среде и способ отката;
  • условия лицензии для внешних изображений, шрифтов и скриптов.

Пошаговое исправление

  1. Откройте HTTPS-страницу в приватном окне и запишите сообщения Mixed Content в Console.
  2. В Network включите фильтр по http: и сохраните проблемные URL.
  3. Найдите источник каждого адреса: HTML, srcset, CSS url(), JavaScript, база, виджет или редирект.
  4. Откройте HTTPS-вариант напрямую и проверьте код ответа, сертификат, тип и содержимое.
  5. Замените адрес в первоисточнике. Для собственного домена предпочтительны относительные или HTTPS-URL.
  6. Если безопасной версии нет, разместите разрешённый ресурс локально, смените поставщика или удалите зависимость.
  7. Очистите кеш, повторите проверку и пройдите ключевые сценарии на desktop и mobile.

Где искать

rg -n "http://" resources/ public/ app/
curl -I https://cdn.example.com/asset.js

Ищите также экранированные URL в JSON, базе данных и итоговых CSS/JS-сборках. Протокол может появиться после HTTP-редиректа, хотя в HTML уже указан HTTPS.

Риски и откат

Слепая массовая замена может подключить другой файл, нарушить CORS, SRI, лицензию или работу API. При сбое верните резервную версию, очистите кеш и восстановите прежний поставщик, пока не будет найден безопасный эквивалент.

После изменений используйте инструкцию проверки. Выпуск сертификата, миграция виджета, CSP и настройка CORS считаются отдельно. При сложной интеграции можно заказать исправление.