WizStatus
Tutoriels30 janvier 2026 8 min de lecture

Corriger les Erreurs de Contenu Mixte : Guide Complet

Résolvez les erreurs de contenu mixte HTTPS. Identification, causes courantes et solutions pour un site entièrement sécurisé.

WizStatus Team
Auteur

Les erreurs de contenu mixte surviennent quand une page HTTPS charge des ressources via HTTP non sécurisé, compromettant la sécurité de la page entière.

Ces erreurs sont parmi les problèmes HTTPS les plus courants et frustrants, apparaissant souvent après une migration vers HTTPS ou lors de l'intégration de contenu tiers.

Les navigateurs modernes bloquent ou avertissent sur le contenu mixte pour protéger les utilisateurs. Cela peut casser des fonctionnalités ou afficher des avertissements de sécurité même sur des sites par ailleurs correctement configurés.

Ce guide explique :

  • Ce qu'est le contenu mixte
  • Pourquoi il pose problème
  • Comment l'identifier
  • Comment le corriger définitivement

Qu'est-ce que le Contenu Mixte

Le contenu mixte se produit quand une page chargée via HTTPS (sécurisé) inclut des ressources chargées via HTTP (non sécurisé).

Cela crée un risque de sécurité car un attaquant peut modifier le contenu HTTP non chiffré même si la page principale est sécurisée.

Les deux types de contenu mixte

Contenu mixte actif (bloqué par les navigateurs) :

  • Scripts JavaScript
  • Feuilles de style CSS
  • Iframes
  • Requêtes AJAX/Fetch
Le contenu mixte actif est particulièrement dangereux car un script modifié peut compromettre toute la page, voler des cookies ou rediriger les utilisateurs.

Contenu mixte passif (avec avertissement) :

  • Images
  • Vidéos
  • Fichiers audio
  • Polices

Le contenu passif est moins critique car il ne peut pas exécuter de code, mais il expose tout de même des informations sur le comportement de navigation.

Pourquoi le Contenu Mixte Pose Problème

Le contenu mixte cause plusieurs problèmes significatifs :

1. Compromission de la sécurité

L'intérêt de HTTPS est de protéger tout le contenu de la page. Les éléments HTTP créent des failles dans cette protection.

Un attaquant sur le réseau peut :

  • Modifier le contenu HTTP
  • Injecter du code malveillant
  • Voler des données sensibles
  • Rediriger les utilisateurs

2. Blocage par les navigateurs

Les navigateurs modernes bloquent le contenu mixte actif par défaut :

Mixed Content: The page at 'https://example.com/' was loaded over HTTPS,
but requested an insecure script 'http://cdn.example.com/script.js'.
This request has been blocked; the content must be served over HTTPS.

3. Impact SEO

Google considère la sécurité HTTPS dans ses classements. Le contenu mixte compromet ce signal et peut affecter votre positionnement.

4. Perte de confiance

Les utilisateurs avertis reconnaîtront les avertissements (absence de cadenas vert) et perdront confiance en votre site.

Comment Identifier le Contenu Mixte

Via la console du navigateur

Ouvrez les outils de développement (F12) et vérifiez la console :

// Exemple d'avertissement dans la console
Mixed Content: The page at 'https://votresite.com/' was loaded over HTTPS,
but requested an insecure image 'http://cdn.external.com/image.jpg'.

Via l'onglet Réseau

  1. Ouvrez les DevTools (F12)
  2. Allez dans l'onglet Network
  3. Filtrez par scheme:http pour voir les requêtes non sécurisées

Outils en ligne

Plusieurs outils peuvent scanner votre site :

Pour les grands sites

Utilisez des outils de crawling comme Screaming Frog pour identifier les problèmes sur de nombreuses pages.

Configurez des Content Security Policy (CSP) reports pour être alerté automatiquement quand du contenu mixte est détecté sur votre site.

Bonnes Pratiques de Correction

1. Mettre à jour vos propres ressources

Pour le contenu que vous contrôlez, mettez à jour les références :

<!-- ❌ Avant -->
<script src="http://votresite.com/script.js"></script>
<img src="http://votresite.com/image.png">

<!-- ✅ Après - URLs relatives -->
<script src="/script.js"></script>
<img src="/images/image.png">

<!-- ✅ Après - URLs relatives au protocole -->
<script src="//votresite.com/script.js"></script>

2. Mettre à jour le contenu tiers

Vérifiez si vos fournisseurs tiers supportent HTTPS :

<!-- ❌ Avant -->
<script src="http://cdn.external.com/library.js"></script>

<!-- ✅ Après -->
<script src="https://cdn.external.com/library.js"></script>
Si un fournisseur tiers ne supporte pas HTTPS, envisagez d'héberger la ressource localement ou de trouver une alternative.

3. Implémenter Content-Security-Policy

Ajoutez cette directive pour automatiquement upgrader les requêtes HTTP :

# Dans votre configuration serveur
Content-Security-Policy: upgrade-insecure-requests;

Ou dans le HTML :

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

4. Proxy pour le contenu utilisateur

Pour les images soumises par les utilisateurs (forums, commentaires), implémentez un proxy :

// Exemple conceptuel d'un proxy d'images
const secureImageUrl = `https://votresite.com/proxy?url=${encodeURIComponent(userImageUrl)}`

Checklist de Correction

  • Auditer toutes les pages avec les DevTools
  • Mettre à jour les URLs internes vers HTTPS ou relatives
  • Vérifier les intégrations tierces (analytics, widgets, CDN)
  • Ajouter l'en-tête upgrade-insecure-requests
  • Tester après chaque changement
  • Configurer des alertes CSP pour le futur

Conclusion

Les erreurs de contenu mixte compromettent la sécurité HTTPS et créent une mauvaise expérience utilisateur.

En comprenant les types de contenu mixte et en identifiant systématiquement les sources, vous pouvez résoudre ces erreurs et délivrer une expérience entièrement sécurisée.

Les étapes clés :

  1. Utiliser HTTPS pour toutes les ressources
  2. Mettre à jour les références tierces
  3. Implémenter Content Security Policy
  4. Surveiller régulièrement les nouvelles erreurs
WizStatus inclut la surveillance SSL qui vérifie une configuration HTTPS correcte, vous aidant à maintenir une posture de sécurité propre et à détecter les problèmes de certificat avant qu'ils n'affectent vos utilisateurs.

Articles connexes

Certificate Transparency : Surveillance des Émissions de Certificats
Sécurité

Certificate Transparency : Surveillance des Émissions de Certificats

Comprenez Certificate Transparency et les CT logs. Détectez les certificats non autorisés et renforcez la sécurité de vos domaines.
8 min de lecture
Comment Recevoir des Rappels Email d'Expiration SSL
Sécurité

Comment Recevoir des Rappels Email d'Expiration SSL

Ne laissez plus jamais un certificat SSL expirer. Configurez des rappels automatiques par email pour l'expiration SSL et évitez les avertissements de sécurité.
7 min de lecture
Guide d'Implémentation HSTS : HTTP Strict Transport Security
Tutoriels

Guide d'Implémentation HSTS : HTTP Strict Transport Security

Implémentez HSTS correctement. Configuration, préchargement et précautions pour une protection maximale contre les attaques de downgrade.
10 min de lecture

Commencez à surveiller votre infrastructure dès aujourd'hui

Mettez ces conseils en pratique avec le monitoring WizStatus.

Essayer WizStatus Gratuitement