ESC

Nhập từ khóa để tìm kiếm

Gợi ý: WordPress, thiết kế web, SEO...
Nhấn Enter để xem tất cả kết quả
Tìm kiếm bởi Web22
Kiến thức SEO 19/06/2025 · Đọc mất 10 phút

Mixed Content là gì? Hiểu đúng để bảo vệ website của bạn

Trần Trọng Luân chuyên viên SEO cao cấp và lập trình viên Web

Trần Trọng Luân

Tác giả · Web22 Team

Mixed Content là gì hiểu đúng để bảo vệ website an toàn tuyệt đối
Mục lục bài viết

Trong thời đại số, bảo mật website không còn là lựa chọn mà đã trở thành yếu tố bắt buộc đối với mọi doanh nghiệp. Một trong những lỗi thường gặp làm ảnh hưởng nghiêm trọng đến độ an toàn và uy tín của website chính là Mixed Content. Vậy Mixed Content là gì? Tại sao nó lại gây nguy hiểm cho người dùng và doanh nghiệp? Làm sao để phát hiện và xử lý triệt để? Hãy cùng Web22 tìm hiểu toàn diện trong bài viết dưới đây.

Mixed Content là gì?

Mixed Content (hay còn gọi là nội dung hỗn hợp) xảy ra khi một trang web được tải qua giao thức HTTPS (bảo mật) nhưng lại chứa các tài nguyên (như hình ảnh, script, CSS, video…) được gọi từ các đường dẫn HTTP không bảo mật.

Điều này khiến trình duyệt phát hiện ra rằng, dù trang web chính có chứng chỉ SSL nhưng một số thành phần bên trong vẫn có nguy cơ bị bên thứ ba can thiệp. Đó là lý do vì sao các trình duyệt hiện nay như Google Chrome, Firefox, Microsoft Edge… đều cảnh báo hoặc thậm chí chặn hoàn toàn nội dung Mixed Content.

Ví dụ: Website của bạn có địa chỉ https://web22.dev nhưng lại có ảnh được chèn từ http://cdn.domainkhac.com/image.jpg thì đó là Mixed Content.

Nguyên nhân và cơ chế xảy ra Mixed Content

Nội dung hỗn hợp thường xuất phát từ nhiều nguyên nhân khác nhau. Dưới đây là các nguyên nhân phổ biến nhất:

  • Chuyển đổi website từ HTTP sang HTTPS nhưng không cập nhật toàn bộ các đường dẫn nội dung.
  • Nhúng video, ảnh, font chữ hoặc script từ bên thứ ba không hỗ trợ HTTPS.
  • Các plugin hoặc theme cũ trong WordPress vẫn gọi tài nguyên qua HTTP.
  • Hệ thống cache hoặc CDN chưa được cấu hình đồng bộ hóa HTTPS.

Về cơ chế, trình duyệt sẽ phân loại Mixed Content thành hai loại chính:

Passive Mixed Content: Đây là các tài nguyên như ảnh, video, audio… không ảnh hưởng đến hành vi trang web. Trình duyệt có thể hiển thị nhưng sẽ cảnh báo. Tuy nhiên, chúng vẫn tiềm ẩn rủi ro nếu bị thay đổi nội dung.

Active Mixed Content: Bao gồm JavaScript, iframe, CSS, AJAX… Những thành phần này khi bị can thiệp có thể làm thay đổi hoặc thao túng hành vi trang web. Hầu hết trình duyệt hiện nay sẽ chặn loại nội dung này ngay lập tức.

Tác động của Mixed Content đến bảo mật và trải nghiệm người dùng

1. Nguy cơ bảo mật nghiêm trọng

Mixed Content làm giảm tính toàn vẹn và bảo mật mà giao thức HTTPS mang lại. Kẻ tấn công có thể:

  • Chèn mã độc thông qua script gọi từ HTTP.
  • Thay đổi nội dung hiển thị của hình ảnh, video.
  • Đánh cắp cookie phiên hoặc dữ liệu người dùng qua trung gian (man-in-the-middle attack).

2. Trải nghiệm người dùng bị ảnh hưởng

Khi truy cập vào một trang web có Mixed Content, người dùng sẽ thấy các cảnh báo như “Không an toàn”, “This page includes scripts from unauthenticated sources”,… Điều này gây mất niềm tin và có thể khiến họ rời khỏi website ngay lập tức.

3. Tác động tiêu cực đến SEO

Google đã xác nhận HTTPS là một trong các tín hiệu xếp hạng. Các trang web chứa nội dung hỗn hợp có thể bị:

  • Giảm điểm Page Experience – một yếu tố xếp hạng quan trọng từ năm 2021.
  • Bị trình duyệt chặn tài nguyên khiến trang load không đầy đủ.
  • Ảnh hưởng đến Core Web Vitals do tài nguyên bị trì hoãn hoặc chặn.

Kết quả là website của bạn khó giữ được vị trí cao trên bảng xếp hạng tìm kiếm, đồng thời mất cơ hội chuyển đổi từ người dùng truy cập tự nhiên.

Cách phát hiện lỗi Mixed Content trên website

Sử dụng trình duyệt Google Chrome

Mở website trên trình duyệt Chrome, sau đó nhấn F12 để mở Developer Tools. Tại tab Console, nếu website có Mixed Content, bạn sẽ thấy cảnh báo như:

Mixed Content: The page at ‘https://web22.dev’ was loaded over HTTPS, but requested an insecure image ‘http://…’. This content should also be served over HTTPS.

Ngoài ra, tại tab Security, Chrome sẽ đánh dấu tình trạng kết nối website. Nếu xuất hiện dòng “This page includes mixed content”, thì website đã bị ảnh hưởng.

Kiểm tra bằng Google Search Console

Google Search Console cung cấp báo cáo HTTPS giúp bạn kiểm tra toàn bộ trang nào trên website bị ảnh hưởng bởi nội dung hỗn hợp. Đây là công cụ chính thức từ Google nên cực kỳ đáng tin cậy.

Sử dụng công cụ hỗ trợ online

Bạn có thể dùng các công cụ như Why No Padlock, SSL Labs hoặc các plugin SEO audit (như Screaming Frog SEO Spider) để quét toàn bộ website và xác định tài nguyên không an toàn.

Hướng dẫn khắc phục lỗi Mixed Content triệt để

Chuyển đổi toàn bộ tài nguyên sang HTTPS

Trước tiên, hãy rà soát toàn bộ link nội bộ và cập nhật từ http sang https. Các thành phần cần chú ý:

  • Ảnh, video, audio
  • JavaScript, CSS
  • iframe, Google Fonts, API bên ngoài

Có thể dùng lệnh tìm và thay thế trong CMS hoặc chỉnh trực tiếp trong code.

Cấu hình rewrite tại server

Với các website sử dụng Apache, bạn có thể thêm đoạn sau vào file .htaccess để chuyển đổi toàn bộ nội dung sang HTTPS:

RewriteCond %{HTTP:HTTPS} !=onRewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Với Nginx, cấu hình tương ứng như sau:

if ($scheme = http) {return 301 https://$host$request_uri;}

Sử dụng plugin WordPress chuyên dụng

Các plugin sau giúp phát hiện và sửa lỗi Mixed Content tự động:

  • Really Simple SSL: Tự động chuyển hướng toàn bộ sang HTTPS, fix link nội bộ.
  • Better Search Replace: Tìm và thay thế hàng loạt link HTTP trong database.
  • SSL Insecure Content Fixer: Phát hiện và sửa lỗi từ plugin/theme bên thứ ba.

Phòng tránh Mixed Content trong tương lai

Áp dụng Content Security Policy (CSP) với directive upgrade-insecure-requests để tự động chuyển mọi HTTP sang HTTPS nếu có.

Ví dụ trong thẻ <head> của trang HTML, thêm:

<meta http-equiv=”Content-Security-Policy” content=”upgrade-insecure-requests”>

Ngoài ra, cần huấn luyện đội ngũ phát triển và biên tập nội dung luôn kiểm tra liên kết trước khi nhúng lên website.

Công cụ hỗ trợ kiểm tra và sửa lỗi Mixed Content

  • Why No Padlock: Phân tích và liệt kê tài nguyên gây lỗi.
  • SSL Labs: Kiểm tra tổng thể chứng chỉ và cấu hình HTTPS.
  • Sitebulb hoặc Screaming Frog: Audit toàn bộ website, cảnh báo các link chưa chuẩn hóa HTTPS.
  • Web22 Audit Tools: Bộ công cụ kiểm tra website chuẩn SEO và bảo mật độc quyền của Web22.

Kết luận

Mixed Content không chỉ là một lỗi kỹ thuật nhỏ mà còn là vấn đề nghiêm trọng ảnh hưởng đến bảo mật, uy tín thương hiệu và hiệu quả SEO tổng thể. Trong bối cảnh Google và người dùng ngày càng ưu tiên các website bảo mật tuyệt đối, việc khắc phục triệt để lỗi này là bắt buộc.

Tại Web22, chúng tôi cung cấp các gói dịch vụ kiểm tra bảo mật website, audit và xử lý lỗi Mixed Content toàn diện. Nếu website của bạn gặp cảnh báo hoặc nghi ngờ lỗi Mixed Content, đừng ngần ngại liên hệ để được hỗ trợ chuyên sâu từ đội ngũ kỹ thuật của chúng tôi.

Hãy biến website của bạn thành một nền tảng an toàn, chuyên nghiệp và chuẩn SEO ngay hôm nay!

Hotline 24/7 0981 828 781