Kontakt
Kontakt
Web-Entwicklung

Mixed Content

Mixed Content beschreibt eine HTTPS-Seite, die einzelne Ressourcen wie Bilder, Schriften oder Skripte unverschlüsselt über HTTP nachlädt – ein typischer Folge-Effekt unvollständiger HTTPS-Umstellungen.

Mixed Content ist eine der häufigsten Schwachstellen nach einer HTTPS-Umstellung. Browser markieren betroffene Seiten als nicht vollständig sicher; einzelne Inhalte werden je nach Browser-Konfiguration sogar vollständig blockiert.

In einfachen Worten

Eine Website ist nur so sicher wie ihr schwächstes Glied. Läuft die Hauptseite über HTTPS, wird aber ein einzelnes Bild, ein Skript oder eine Schriftart noch über das alte HTTP nachgeladen, entsteht Mixed Content – ein „gemischtes" Sicherheits-Niveau. Browser zeigen statt des geschlossenen Schloss-Symbols ein Warnsymbol oder blockieren die unverschlüsselten Inhalte vollständig. Für den Besucher wirkt die Seite wie eine angebrochene Sicherheits-Kette. Technisch gilt: Sobald die HTML-Seite über HTTPS ausgeliefert wird, müssen sämtliche eingebundenen Ressourcen ebenfalls über HTTPS erreichbar sein – Bilder, Stylesheets, Skripte, Schriftarten, eingebettete Videos, Drittanbieter-Werkzeuge.

Wozu brauche ich das?

Mixed Content tritt häufig nach einer HTTPS-Umstellung, einem Domain-Umzug oder beim Einbinden älterer Erweiterungen auf. Auch externe Dienste (Karten, eingebettete Videos, Werbe-Netzwerke) können Ressourcen über HTTP einbinden und damit das Problem auslösen. Die Folgen reichen von Browser-Warnungen, die die wahrgenommene Vertrauenswürdigkeit senken, bis zu vollständig blockierten Skripten – einschließlich Werkzeugen wie Webanalyse oder Bezahl-Modulen.

Beispiel aus der Praxis

Mixed Content tritt typischerweise nach einer HTTPS-Umstellung auf: Die Hauptseite läuft über SSL/TLS sauber verschlüsselt, aber einzelne Ressourcen – Bilder aus einer alten Erweiterung, Skripte von einem Drittanbieter, Schriftarten von einem externen Server – werden noch über HTTP eingebunden. Der Browser zeigt dann ein gelbes Warnsymbol oder blockiert die Inhalte vollständig. Die Bereinigung folgt einem klaren Schema: alle hartkodierten HTTP-Adressen in Datenbank und Vorlagen suchen und durch HTTPS-Pfade ersetzen, externe Ressourcen auf HTTPS-Quellen umstellen, ältere Erweiterungen aktualisieren. Der Aufwand bleibt überschaubar – die Wirkung ist sofort sichtbar, weil das vollständige Schloss-Symbol wieder erscheint.

Wirtschaftlicher Nutzen

Mixed Content kostet keine Lizenz und keine Hardware – nur Entwicklungs-Zeit zur Bereinigung. Der Effekt der Bereinigung ist trotzdem hoch: Browser-Warnungen senken die wahrgenommene Vertrauenswürdigkeit, blockierte Skripte können Webanalyse, Tracking und sogar Bezahl-Funktionen lahmlegen. Für Online-Shops und Buchungs-Portale ist eine vollständig Mixed-Content-freie Auslieferung praktisch verpflichtend. Hinzu kommt die SEO-Wirkung: Suchmaschinen werten eine sauber ausgelieferte HTTPS-Seite höher als eine mit Warn-Markierung.

Typische Fehler

  • Hartkodierte HTTP-Adressen in Vorlagen oder Stylesheets übersehen – sie tauchen erst auf, wenn der jeweilige Pfad aufgerufen wird.
  • CDN- oder Drittanbieter-Ressourcen ohne HTTPS eingebunden – brechen still, ohne Fehlermeldung auf der sichtbaren Seite.
  • Browser-Konsole nicht geprüft – dort werden Mixed-Content-Warnungen ausführlich protokolliert.
  • Nur die Startseite getestet – Folgeseiten oder Filter-Adressen zeigen häufig erst die eigentlichen Probleme.
  • Nach der Bereinigung keine erneute Prüfung durchgeführt – neue Inhalte oder eingebundene Werkzeuge führen das Problem oft erneut ein.

Worauf achten?

  • Browser-Konsole systematisch nach Mixed-Content-Warnungen durchsuchen – dort werden alle betroffenen Ressourcen ausgegeben.
  • Datenbank nach hartkodierten http-Adressen durchsuchen und ersetzen.
  • Externe Ressourcen über protokoll-relative oder explizite HTTPS-Pfade einbinden.
  • Nach jeder größeren Änderung mit einem Performance-Audit-Werkzeug gegenprüfen.
  • Über Security-Header die Content-Security-Policy mit der Direktive upgrade-insecure-requests als zusätzliche Sicherung einsetzen.

Häufig gestellte Fragen

Was ist Mixed Content?

Eine HTTPS-Seite, die einzelne Ressourcen wie Bilder, Skripte oder Schriftarten unverschlüsselt über HTTP nachlädt. Browser zeigen daraufhin Warnungen oder blockieren die betroffenen Inhalte vollständig.

Wie entstehen Mixed-Content-Probleme?

Am häufigsten nach einer HTTPS-Umstellung mit hartkodierten HTTP-Adressen in Datenbank, Vorlagen oder Stylesheets. Auch externe Dienste oder ältere Erweiterungen können Ressourcen über HTTP einbinden und das Problem auslösen.

Wie findet man Mixed Content?

Über die Browser-Konsole (Reiter Konsole oder Sicherheit), die alle Mixed-Content-Warnungen detailliert protokolliert. Zusätzlich helfen automatisierte Werkzeuge für Sicherheits- und Performance-Audits, die ganze Seiten auf unverschlüsselte Ressourcen prüfen.

Was bewirkt upgrade-insecure-requests?

Eine Direktive der Content-Security-Policy, die den Browser anweist, alle HTTP-Anfragen automatisch auf HTTPS umzuleiten. Sie ist eine wirksame zusätzliche Sicherung, ersetzt aber nicht die saubere Bereinigung hartkodierter HTTP-Adressen.

Was passiert ohne Bereinigung?

Browser-Warnungen senken die wahrgenommene Vertrauenswürdigkeit; einzelne Browser blockieren bestimmte Mixed-Content-Typen vollständig (etwa aktive Inhalte wie Skripte). Suchmaschinen werten betroffene Seiten zudem niedriger – mit unmittelbarer Wirkung auf Sichtbarkeit und Konvertierung.

Zurück zu Web-Entwicklung