
混合内容 (Web)

[8] Web における混合内容 (mixed content) とは、 HTTPS文書から参照される HTTPスクリプトのように、 安全プロトコルによってもたらされた文書に含まれる安全でないプロトコル由来のデータのことをいいます。

[46] かつては混合内容も普通に用いられていましたが、 TLS を用いない素のHTTP安全ではないとの認識が広まるにつれ、 混合内容が禁止されるようになっていきました。

[47] 現在では画像媒体を除き、混合内容は禁止されています。 混合内容fetch は、ネットワークエラーとなります。


  1. 仕様書
  2. 意味
  3. 適用対象
  4. プロトコル
  5. 処理
  6. 利用者インターフェイス
  7. 誤訳「コンテンツ」
  8. 関連
  9. 歴史



[88] あるページが HTTPS (HTTP over TLS) で保護されて配送されてきたとしても、 其の表示に際して別の資源を埋め込む時に素のHTTP を使っていたら、 その Webページ全体は信頼できるとは言い切れなくなります。 特にそれがスクリプトの場合、 攻撃者によって Webページの表示全体が置き換えられる場合すらあり得ます。

[89] 混合内容制約は、 TLS で保護されているように見える Webページが、 真に保護されていることを確保するための最低限の保証と言えます。

[91] 要求は、 URL先験的認証済URLなくDoes settings prohibit mixed security contexts?であるとき、 混合内容 (mixed content) です。 >>90

[92] 応答は、 unauthenticated response であって、 Does settings prohibit mixed security contexts?であるとき、 混合内容 (mixed content) です。 >>90

[94] 混合内容が、 混合内容を制限する文脈に読み込まれる時、 当該文脈は RFC 6797 混合保安文脈 (mixed security context) です。 >>90


[174] Fetch に適用されます。 JavaScriptfetch に限らず、 Webページからのネットワークアクセスほとんどすべてに適用されます。 WebSocket も適用対象に含まれます >>26, >>25

[96] 要求混合内容任意選択的ブロック可能 (optionally-blockable) であるとは、 終点videoaudio であるか、 initiator空文字列終点image であるかをいいます。 >>95

[97] img などの画像, video, audio, videoaudiosource などが該当します。これらは従前より混合内容が比較的よく使われてきました。 それをただちにブロックすることはWeb互換性のため極めて難しいので、 当分の間の暫定的措置として混在が認められています >>95。 とはいえ混在が安全でないことは間違いなく、 理想的にはブロックするべきものであるため、 将来的にブロックできるようになることが期待されています >>95利用者の設定で任意選択的ブロック可能なものも含めてブロックすることができます (>>168)。 (なお、 任意選択的ブロック可能に該当しても、他の条件によりブロックされる場合があります。)

[98] 要求混合内容任意選択的ブロック可能ない場合、 ブロック可能 (blockable) です。 >>95

[99] プラグインからのネットワークアクセスも混合内容制約の適用対象ですが、 NPAPI プラグインが直接ネットワークにアクセスする可能性があるように、 実際には擦り抜けられてしまうことがあります。 Webブラウザーはこれを防ぐべきで、 プラグインの開発者も制約に從うべきとされています。 >>95 Flash を最後に外部プラグインが廃止されることで、 この問題は解消されます。

[85] navigation、つまり HTTPS ページから素のHTTP のページへのリンクの遷移は認められています。 しかし navigation であっても HTTPS ページ内部の iframe に表示させるようなものは、認められません。

[141] HTTPS から素のHTTP へのフォームの提出も基本的には認められています。 しかし Webブラウザー依存でこれを制限しても構わないことになっています (>>124)。 そのような場合古くから多くの Webブラウザーモーダルダイアログを表示して利用者に確認していました。

[175] 利用者エージェントは、 仕様書のアルゴリズムより更に厳しい制限を課すことが認められ (というか推奨 (encouraged) され) ています。 >>163 いくつか例示されていますが、それ以外の措置も認められるようです。

[176] そのような曖昧性を残した規定は相互運用性のため好ましくないとも思われますが、 要はすべて HTTPS安全に輸送すれば良いということでしょう。

[177] Strict-Transport-Security ヘッダー (HSTS) があるとき、 すべてをブロック可能とみなしたり、 厳密混合内容検査フラグを設定するものとみなしたりして構いません。 >>163

[178] 利用者の安全のため危険性を下げるべく、 任意選択的ブロック可能要求を修正して構いません。 例えばクッキーその他認証トークンw除去したり、 自動的に URL scheme格上げしてみたり、 などの措置を取り得ます。 >>163

[179] 入れ子閲覧文脈内の任意選択的ブロック可能なものをブロック可能とみなして構いません。 そうすることで混合内容が含まれてしまうおそれを排除して埋め込みできます。 >>163


[100] 混合内容制約の制御

[167] Mixed ContentWebブラウザーが実装する制約で、 HTTPS 頁に素のHTTPが埋め込まれるものをエラーとするものです。 ところが従来素のHTTPで提供されてきた Web頁HTTPS に移行したい時、 ページ内にあるすべての URLhttp: から https: に書き換えないといけないとすると、大規模な Webサーバーでは困難な場合があります。 そこで UIR を使うと、 Mixed Content でエラーとなる以前に暗黙裡に http: から https: への読み替えがなされます。


[103] 環境設定群オブジェクト設定群について Does settings prohibit mixed security contexts? は、 (Prohibits Mixed Security Contexts) か (Does Not Prohibit Mixed Security Contexts) を返し、 次のようにします。 >>102

  1. [104] 設定群HTTPS状態noneない場合、
    1. [105] を返し、 ここで停止します。
  2. [106] 文書を、設定群有責文書に設定します。
  3. [108] 文書nullない場合、
    1. [107] 文書埋め込んでいる文書nullない間、 繰り返し
      1. [109] 文書を、 文書埋め込んでいる文書に設定します。
      2. [110] 埋め込み器設定群を、 文書大域オブジェクト関連設定群オブジェクトに設定します。
      3. [111] 埋め込み器設定群HTTPS状態noneない場合、
        1. [112] を返します。
  4. [113] を返します。

[114] おおまかにいえば、親フレームhttps: のものがあればを返します。

[166] 要求 (>>116) や応答 (>>142) に対するアルゴリズムの他、 アドレスバー表示でも使われます。

[116] 要求要求について Should fetching request be blocked as mixed content? は、 (blocked) か (allowed) を返し、 次のようにします。 >>102

  1. [117] 要求クライアントについて Does settings prohibit mixed security contexts?の場合、
    1. [118] を返し、ここで停止します。
  2. [119] 要求URL先験的認証済の場合、
    1. [120] を返し、ここで停止します。
  3. [121] 混合内容を認めるよう利用者エージェントが設定 (>>170) されている場合、
    1. [169] を返し、ここで停止します。
  4. [122] 要求終点document で、 要求対象閲覧文脈親閲覧文脈null の場合、
    1. [124] 要求フォーム提出であって利用者エージェントがこの種の混合内容を検査する場合を除き >>102, >>163
      1. [123] を返し、ここで停止します。
  5. [125] 要求クライアントCSPリスト中の各方針について、順に、
    1. [126] 方針指令集合block-all-mixed-content 指令が含まれる場合、
      1. [127] 違反を、 要求クライアント大域オブジェクトblock-all-mixed-content について create-violation-for-global した結果に設定します。
      2. [128] 違反資源を、 要求URL に設定します。
      3. [129] 違反について report-violation します。
  6. [115] 任意選択的ブロック可能混合内容を認めないよう利用者エージェントが設定 (>>168) されている場合、
    1. [130] を返し、 ここで停止します。
  7. [131] 要求クライアント厳密混合内容検査フラグの場合、
    1. [132] を返し、 ここで停止します。
  8. [133] 要求モードCORS の場合、
    1. [134] を返し、 ここで停止します。
  9. [135] 要求終点image で、 要求initiatorimagesetない場合、
    1. [136] を返し、 ここで停止します。
  10. [137] 要求終点videoaudio の場合、
    1. [138] を返し、 ここで停止します。
  11. [139] を返します。

[140] fetch から呼び出されます。

[142] 要求要求応答応答について Should response to request be blocked as mixed content? は、 (blocked) か (allowed) を返し、 次のようにします。 >>102

  1. [143] 要求クライアントについて Does settings prohibit mixed security contexts?の場合、
    1. [144] を返し、ここで停止します。
  2. [145] 混合内容を認めるよう利用者エージェントが設定 (>>170) されている場合、
    1. [146] を返し、ここで停止します。
  3. [147] 要求終点document で、 要求対象閲覧文脈親閲覧文脈null の場合、
    1. [148] 要求フォーム提出であって利用者エージェントがこの種の混合内容を検査する場合を除き >>102, >>163
      1. [149] を返し、ここで停止します。
  4. [150] 応答HTTPS状態modern の場合、
    1. [151] を返し、 ここで停止します。
  5. [152] 任意選択的ブロック可能混合内容を認めないよう利用者エージェントが設定 (>>168) されている場合、
    1. [153] を返し、 ここで停止します。
  6. [154] 要求クライアント厳密混合内容検査フラグの場合、
    1. [155] を返し、 ここで停止します。
  7. [156] 要求終点image で、 要求initiatorimagesetない場合、
    1. [157] を返し、 ここで停止します。
  8. [158] 要求終点videoaudio の場合、
    1. [159] を返し、 ここで停止します。
  9. [160] を返します。

[161] fetch から呼び出されます。

[162] この処理は要求に対する処理と似ています。 要求に対する処理はネットワークに送信する前に実行し、 それを通過したもののみがこちらの応答に対する処理も実行されます。 応答に対する処理は、 リダイレクトの結果やサービスワーカーが動作した場合も考慮して、 一部重複して検査が実行されています。


[101] 表示中の Web頁混合内容を含むかどうかは、 通例アドレスバーに表示されます。 アドレスバー

[165] 他に開発者コンソールに詳しくエラーが表示されることがあります。 文書厳密混合内容検査フラグで一般の利用者混合内容の表示がない場合 アドレスバー であっても、開発者コンソールには表示して構いません >>163

[164] 古くは混合内容を表示するかどうかいちいちモーダルダイアログを表示する Webブラウザーもありました。

[173] Webブラウザー利用者の設定による一部挙動の変更も認められています。

[168] 利用者エージェントは、 すべての混合内容ブロック可能とする (任意選択的ブロック可能なものもブロックする) 選択肢を利用者に提供して構いません。 その場合利用者はこれを利用することが強く推奨 (strongly recommended) されます。 >>163

[170] 利用者エージェントは、 特定の Webページについて、 ブロック可能なものをブロックする決定を覆す手段を利用者に提供して構いません>>163

[171] 仕様書は現実的にそうした機能を提供しないことはできないとし、 危険なので十分注意喚起するよう求めていました >>163。 実際古くからそうした機能を Webブラウザーは備えていました。 其後 HTTPS 移行が進んでおり、現在では必要もほとんどなくなっているとみられます。

[172] 利用者エージェントは、こうした機能について、 AT 利用者のためアクセシビリティーAPI を通じても提供しなければなりません>>163


[63] 単数形の「Mixed Content」 を混合コンテンツ混在コンテンツと訳す人もいますが、 明確な誤訳です。

[54] はてなブログへの接続をすべてHTTPSにできる機能の実装予定と、利用を検討するユーザー様に準備いただきたいこと - はてなブログ開発ブログ () http://staff.hatenablog.com/entry/2017/09/25/143000

混在コンテンツ(Mixed Content)

[55] なぜ英語単数形なのに日本語複数形に訳すのか、理解に苦しむ。

[68] はてなブックマーク・ネイティブ広告 - はてなのコンテンツマーケティング支援総合サービス () http://www.hatena.ne.jp/contentmarketing/nativeads では 「はてなコンテンツマーケティング」が 「Hatena Content Marketing」 とされています。株式会社はてなでは content の「t」を「ツ」 と音訳していると思われます。

[69] 他社ではこうした事例は多くないので (なくはない)、 業界独自の慣習でもなくこの会社の人がそうしているだけ?

[73] 英語原文では「content」と単数なのがことごとく「コンテンツ」 と複数形で誤訳されています。

[75] Googleコンテンツ セキュリティ ポリシー | Web | Google Developers () https://developers.google.com/web/fundamentals/security/cspCSP の C も「コンテンツ」 と訳しています。 「ツ」は 「t」の音訳なのかもしれません。

[71] Google、Chromeで混合コンテンツを完全にブロックする計画 | スラド IT () https://it.srad.jp/story/19/10/05/2112223/

>>72 を引用。

[76] 「コンテント」と「コンテンツ」を正しく訳し分けしないと、 技術者は block-all-mixed-content の正しい綴りを覚えるのに苦労することになります。


[10] SGMLXML内容モデルにおける混合内容とは関係ありません。 混合内容の語は長年 Webブラウザーで使われるため混乱は少ないと説明されています >>90

[84] 保安文脈HTTPS とそれ以外を分離した上で更に HTTPS 側だけに機能を提供する、更に強い制約となっています。


[86] 当初 HTTPS素のHTTP の混合はまったく制約なく認められていました。 Web 上では普通に行われていました。

[87] しかし IE4 など HTTPS からの素のHTTP の利用の一部を制限することがある Webブラウザーもありました。


