Test mixed content HTTPS

Une page servie en HTTPS qui charge des ressources (images, scripts, iframes, fonts) en HTTP. Le navigateur affiche un cadenas barré ou un avertissement "site non sécurisé" — perte immédiate de confiance utilisateur. Pire, sur Chrome moderne, les scripts et iframes HTTP sont automatiquement bloqués ("active mixed content"), ce qui casse littéralement la page.

Actif = scripts, iframes, XHR, WebSocket — ressources qui peuvent modifier le DOM. Bloqué automatiquement par les navigateurs depuis 2020. Passif = images, vidéos, audios — ne peuvent pas exécuter de code mais déclenchent l'avertissement "non sécurisé". Chrome upgrade automatiquement les images HTTP vers HTTPS depuis Chrome 90, mais ça reste un fallback fragile.

Trois options : (1) upgrade côté serveur — modifier les URLs dans votre CMS pour utiliser https:// ou les URLs relatives (//exemple.com/ ou /path) ; (2) Content Security Policy — ajouter upgrade-insecure-requests qui force le navigateur à essayer en HTTPS ; (3) si la ressource n'est pas disponible en HTTPS (cas rare en 2025), il faut la rapatrier sur votre propre serveur ou la remplacer.

On scanne le HTML statique pour : img/script/link/iframe/video/audio/embed/object/source/form. On ne suit pas les imports JS dynamiques, les fetch() runtime, les WebSocket, ni les ressources injectées par un script externe. Pour ces cas, ouvrez DevTools → onglet Security ou Console → Chrome remonte tout le mixed content effectivement chargé. Cet outil sert à pré-flager les cas évidents avant un déploiement.