“Trang web này có nội dung không an toàn;” “chỉ nội dung bảo mật được hiển thị;” “Firefox đã chặn nội dung không an toàn.” Đôi khi bạn sẽ gặp những cảnh báo này khi duyệt web, nhưng chính xác thì chúng có nghĩa là gì?

Có hai loại nội dung hỗn hợp – một loại tệ hơn loại kia, nhưng không phải loại nào cũng tốt. Cảnh báo về nội dung hỗn hợp cho thấy có điều gì đó không ổn với trang web bạn đang truy cập.

Nội dung hỗn hợp là gì?

LIÊN QUAN: HTTPS là gì và tại sao tôi nên quan tâm?

Tất cả điều này là do sự khác biệt giữa HTTP và HTTPS. HTTP là loại kết nối được sử dụng phổ biến nhất – khi bạn truy cập một trang web bằng giao thức HTTP, kết nối của bạn với trang web không được bảo mật. Bất kỳ ai nghe trộm lưu lượng truy cập đều có thể thấy trang bạn đang xem và bất kỳ dữ liệu nào bạn đang gửi qua lại.

Đó là lý do tại sao chúng tôi có HTTPS, nghĩa đen là “HTTP Secure”. HTTPS tạo kết nối an toàn giữa bạn và máy chủ web. Kết nối được mã hóa và xác thực, vì vậy không ai có thể theo dõi lưu lượng truy cập của bạn và bạn có một số đảm bảo rằng bạn đã kết nối với đúng trang web. Điều này cực kỳ quan trọng đối với việc bảo mật mật khẩu tài khoản và dữ liệu thanh toán trực tuyến, đảm bảo không ai có thể nghe trộm được.

Cảnh báo nội dung hỗn hợp cho biết có sự cố với trang web bạn đang truy cập qua HTTPS. Kết nối HTTPS phải an toàn, nhưng mã nguồn của trang web đang lấy các tài nguyên khác bằng giao thức HTTP không an toàn, không phải HTTPS. Thanh địa chỉ của trình duyệt web của bạn sẽ cho biết bạn đã kết nối với HTTPS, nhưng trang cũng đang tải tài nguyên với giao thức HTTP không an toàn trong nền. Để đảm bảo bạn biết rằng trang web bạn đang sử dụng không hoàn toàn an toàn, các trình duyệt sẽ hiển thị cảnh báo nói rằng trang đó có cả nội dung HTTPS và HTTP – hay nói cách khác là nội dung hỗn hợp.

Tại sao điều này lại nguy hiểm

LIÊN QUAN: Mã hóa là gì và nó hoạt động như thế nào?

Đây là lý do tại sao điều này thực sự nguy hiểm. Giả sử bạn đang truy cập trang thanh toán và bạn sắp nhập số thẻ tín dụng của mình. Trang thanh toán cho biết đó là kết nối HTTPS được mã hóa, nhưng bạn thấy cảnh báo về nội dung hỗn hợp. Điều này sẽ giương cao một lá cờ đỏ. Có thể chi tiết thanh toán bạn nhập có thể bị nội dung không an toàn nắm bắt và gửi qua kết nối không an toàn, làm mất đi lợi ích của bảo mật HTTPS – ai đó có thể nghe trộm và xem dữ liệu nhạy cảm của bạn.

Vì HTTP không xác thực máy chủ web giống như cách HTTPS thực hiện, nên cũng có thể một trang web HTTPS an toàn lấy tập lệnh từ một trang HTTP có thể bị lừa lấy tập lệnh của kẻ tấn công và chạy nó trên trang web an toàn khác. Khi HTTPS được sử dụng, bạn có thêm đảm bảo rằng nội dung không bị giả mạo và là hợp pháp.

Trong cả hai trường hợp, điều này loại bỏ lợi ích của việc có kết nối HTTPS an toàn. Có thể một trang web có cảnh báo nội dung không an toàn và vẫn bảo mật dữ liệu cá nhân của bạn đúng cách, nhưng chúng tôi thực sự không biết chắc chắn và không nên mạo hiểm – đó là lý do tại sao trình duyệt web cảnh báo bạn khi bạn gặp một trang web không được mã hóa đúng cách.

Nội dung hoạt động hỗn hợp so với nội dung thụ động hỗn hợp

Thực tế có hai loại nội dung hỗn hợp. Nguy hiểm hơn là “nội dung hoạt động hỗn hợp” hoặc “tập lệnh hỗn hợp”. Điều này xảy ra khi trang web HTTPS tải tệp tập lệnh qua HTTP. Tệp tập lệnh có thể chạy bất kỳ mã nào trên trang mà nó muốn, vì vậy việc tải tập lệnh qua một kết nối không an toàn sẽ phá hỏng hoàn toàn tính bảo mật của trang hiện tại. Các trình duyệt web thường chặn hoàn toàn loại nội dung hỗn hợp này.

Loại thứ hai là “nội dung thụ động hỗn hợp” hoặc “nội dung hiển thị hỗn hợp”. Điều này xảy ra khi trang web HTTPS tải thứ gì đó như tệp hình ảnh hoặc âm thanh qua kết nối HTTP. Loại nội dung này không thể làm hỏng tính bảo mật của trang theo cách tương tự, vì vậy trình duyệt web không phản ứng gay gắt như vậy. Tuy nhiên, đó vẫn là một phương thức bảo mật tồi có thể gây ra sự cố. Ví dụ: kẻ tấn công có thể thay thế hình ảnh bằng một hình ảnh gây hiểu lầm, giả mạo một trang an toàn về mặt lý thuyết. Yêu cầu tải hình ảnh cũng chứa các tiêu đề chứa thông tin cookie được liên kết với trang web, vì vậy, ngay cả khi tải hình ảnh qua kết nối không an toàn cũng có thể gây ra sự cố. Các trình duyệt web thường hiển thị biểu tượng hoặc thông báo cảnh báo hơn là chặn nội dung hoàn toàn, vì loại nội dung hỗn hợp này vẫn rất phổ biến trên các trang web thực. Trong Chrome, bạn sẽ thấy một ổ khóa có hình tam giác màu vàng.

Phải làm gì khi bạn thấy cảnh báo về nội dung hỗn hợp

Các trình duyệt web thường chặn các loại nội dung hỗn hợp nguy hiểm nhất theo mặc định. Đừng bỏ chặn nó. Nếu bạn không thể đăng nhập vào một trang web hoặc nhập chi tiết thanh toán trực tuyến mà không tải nội dung hỗn hợp, bạn chỉ nên rời khỏi trang web và không nhập thông tin của mình vào một trang web không an toàn. Cho chủ sở hữu trang web biết trang web của họ không an toàn và bị hỏng.

Nếu bạn thấy cảnh báo rằng một trang chứa các tài nguyên khác có thể không an toàn, thì có thể bạn vẫn an toàn để đăng nhập. Đó không phải là một dấu hiệu tốt nếu một trang web quan trọng như ngân hàng của bạn gặp sự cố này, nhưng loại cảnh báo có nội dung hỗn hợp này rất phổ biến.

Mặt khác, cảnh báo về nội dung hỗn hợp không thực sự là vấn đề lớn nếu bạn đang truy cập một trang web không cần HTTPS. Tất cả cảnh báo về nội dung hỗn hợp có nghĩa là một trang web được đảm bảo hưởng lợi từ bảo mật HTTPS – nói cách khác, trong trường hợp xấu nhất, trang web bạn đang truy cập không an toàn như một trang HTTP tiêu chuẩn. Vì vậy, nếu bạn đang truy cập một trang web như Wikipedia chỉ để đọc một số bài báo và bạn thấy một cảnh báo có nội dung hỗn hợp, bạn không cần quan tâm đến nó quá nhiều. Trong trường hợp xấu nhất, nó cũng không an toàn như thể bạn đang đọc các bài báo trên Wikipedia qua kết nối HTTP tiêu chuẩn, điều mà bạn không gặp vấn đề gì khi thực hiện.

Tại sao một số trang web gặp sự cố này

Bạn sẽ chỉ gặp lỗi này nếu có vấn đề với cách mã hóa trang web. Nếu một trang web được phân phát qua HTTPS, nó cũng phải sử dụng giao thức HTTPS để lấy các tệp tập lệnh và nội dung khác mà nó yêu cầu. Các nhà phát triển web nên kiểm tra các trang web của họ, đảm bảo rằng chúng không kích hoạt các cảnh báo trông đáng sợ trong trình duyệt của người dùng. Nếu bạn là người dùng, bạn thực sự không thể làm bất cứ điều gì về vấn đề này – chủ sở hữu trang web có thể sửa nó hay không.

Nếu bạn là nhà phát triển web, tất cả những gì bạn phải làm là đảm bảo các trang HTTPS của bạn tải nội dung từ URL HTTPS, không phải URL HTTP. Một cách để làm điều này là làm cho toàn bộ trang web của bạn chỉ hoạt động qua SSL, vì vậy mọi thứ chỉ sử dụng HTTPS.

Nếu bạn muốn tạo một trang có thể được phân phát qua HTTP hoặc HTTPS và tự động thực hiện đúng, bạn có thể sử dụng “URL tương đối của giao thức” để trình duyệt của người dùng tự động chọn HTTP hoặc HTTPS sao cho phù hợp, tùy thuộc vào giao thức mà người dùng sử dụng kết nối với. Ví dụ: một URL tương đối của giao thức để tải một hình ảnh sẽ trông giống như . Trình duyệt sẽ tự động thêm http: hoặc https: vào đầu URL, tùy theo cái nào thích hợp. Tất nhiên, bạn sẽ cần đảm bảo trang web bạn đang liên kết cung cấp tài nguyên qua cả HTTP và HTTPS.


Các trình duyệt web đang tự động chặn nội dung hỗn hợp hoặc biện pháp bảo vệ của bạn và đây là lý do tại sao. Nếu bạn cần sử dụng một trang web bảo mật không hoạt động bình thường trừ khi bạn bật nội dung hỗn hợp, chủ sở hữu trang web nên sửa lỗi đó.

Tham khảo (HowToGeek)