Le contenu mixte apparaît quand une page servie en HTTPS charge des ressources en HTTP : une image, un script, une feuille de style laissés sur l’ancien protocole. Le navigateur signale alors une page « partiellement sécurisée », brise le cadenas et, pour certaines ressources, refuse de les charger. L’enjeu dépasse la sécurité : une ressource bloquée casse une partie de votre page, et une page cassée dessert autant vos visiteurs que votre référencement. Cette page explique ce qui se passe, ce que cela change pour le SEO, et comment corriger sans tout casser.
C’est quoi le contenu mixte ?
Le contenu mixte désigne une page chargée en HTTPS qui récupère une partie de ses ressources en HTTP, le protocole non sécurisé. L’adresse de la page est chiffrée, mais pas celle de certains fichiers qu’elle appelle. Les navigateurs le signalent et bloquent d’office les ressources sensibles, comme les scripts et les feuilles de style.
La cause la plus fréquente est une migration de HTTP vers HTTPS mal terminée. Le certificat est en place, la page principale bascule en HTTPS, mais des adresses http:// restent codées en dur dans le contenu, la base de données, le thème ou un module. Chaque ressource ainsi appelée déclenche un cas de contenu mixte. Les anciens articles, avec leurs images téléversées avant la migration, en sont la source la plus courante.
Passif ou actif : la distinction qui change la gravité
Tous les contenus mixtes ne se valent pas. Les navigateurs distinguent deux catégories, et leur traitement diffère du tout au tout.
Le contenu mixte passif regroupe les images, les vidéos et les fichiers audio chargés en HTTP. Il n’altère pas le reste de la page. Les navigateurs modernes tentent d’abord de le récupérer en HTTPS de façon automatique, et affichent un avertissement en cas d’échec. Le risque est surtout cosmétique et lié à la confiance : un cadenas barré inquiète le visiteur.
Le contenu mixte actif regroupe les scripts, les feuilles de style, les iframes et les requêtes de données. Ces ressources peuvent modifier toute la page, un attaquant qui les intercepterait prendrait le contrôle de l’affichage. Les navigateurs les bloquent d’office. Conséquence directe : un script bloqué casse une fonctionnalité, une feuille de style bloquée déforme la mise en page. C’est ici que le contenu mixte devient un vrai problème, technique et visible.
Le contenu mixte pénalise-t-il le référencement ?
Pas de façon directe. Google ne sanctionne pas une page parce qu’elle contient du contenu mixte. Le HTTPS, lui, est un signal de classement léger depuis 2014, et fait partie des signaux d’expérience de page. Une page en HTTPS propre coche donc une case ; une page truffée de contenu mixte ne perd pas de points pour autant, du moins pas directement.
L’impact réel passe par des chemins indirects, et il est concret. Quand une ressource active est bloquée, la page se charge amputée : un script d’affichage manquant, un style cassé, un module qui ne s’exécute pas. Cette version dégradée est aussi celle que voit le robot de Google au moment du rendu, ce qui rejoint nos observations sur le SEO JavaScript. S’ajoute la perte de confiance : un cadenas barré fait fuir une part des visiteurs et pèse sur les conversions, un signal de qualité que le moteur finit par percevoir. Le contenu mixte ne coûte pas un malus abstrait, il abîme la page que Google et vos visiteurs consultent.
Ce que font les navigateurs en 2026
Le comportement a évolué et durci. Les navigateurs récents ne se contentent plus d’un avertissement passif : ils tentent de relever automatiquement les requêtes de contenu mixte vers HTTPS quand la ressource existe sur ce protocole, et bloquent ce qui ne peut pas l’être. L’époque où le contenu mixte se contentait de barrer le cadenas est révolue. Aujourd’hui, une ressource en HTTP mal servie est soit corrigée en silence, soit purement bloquée, sans état intermédiaire confortable.
Cette bascule a une conséquence pratique : compter sur la tolérance du navigateur n’est plus une option. Un site propre sert toutes ses ressources en HTTPS, point. Le reste relève du sursis.
Trouver le contenu mixte sur votre site
Avant de corriger, il faut localiser. Trois méthodes se complètent, de la plus rapide à la plus exhaustive.
- La console du navigateur : ouvrez les outils de développement sur une page suspecte, l’onglet Console et Sécurité liste les ressources en contenu mixte, avec leur URL exacte.
- Un crawl du site (Screaming Frog ou équivalent) : il parcourt toutes vos pages et remonte les ressources en HTTP à l’échelle du site, ce qu’un contrôle page par page ne permet pas.
- Les outils en ligne dédiés : plusieurs services vérifient une URL et signalent chaque ressource non sécurisée, pratiques pour un diagnostic ponctuel.
Sur les gros sites, c’est le crawl qui donne la vue complète : le contenu mixte se cache souvent dans une poignée d’articles anciens ou dans un module précis, invisible si l’on ne teste qu’une ou deux pages.
Corriger le contenu mixte, dans le bon ordre
La correction suit une logique simple : servir chaque ressource en HTTPS, puis verrouiller pour l’avenir.
- Remplacer les adresses HTTP par HTTPS dans le contenu et la base de données. Après une migration, un outil de recherche-remplacement en base corrige d’un coup les URL codées en dur dans les anciens articles.
- Vérifier le thème et les modules : certaines ressources sont appelées par le code du site, pas par le contenu. Un thème ou une extension qui charge un script en HTTP se corrige à la source.
- Traiter les ressources externes : une police, une carte, un script tiers en HTTP se remplace par sa version HTTPS, presque toujours disponible, ou par une autre solution si le service ne suit pas.
- Poser un filet de sécurité : l’en-tête
Content-Security-Policy: upgrade-insecure-requestsdemande au navigateur de relever toutes les requêtes vers HTTPS. Utile en complément, jamais en remplacement du nettoyage à la source. - Contrôler les balises structurelles : l’URL canonique, le sitemap et les liens internes doivent tous pointer en HTTPS, sous peine de brouiller les signaux d’indexation.
Un dernier passage au crawler après correction confirme que plus aucune ressource ne subsiste en HTTP. C’est le contrôle que nous intégrons à nos audits techniques, car un site migré depuis des années garde souvent quelques ressources oubliées.
FAQ : vos questions sur le contenu mixte
C’est quoi le contenu mixte sur un site web ?
Le contenu mixte désigne une page chargée en HTTPS qui appelle une partie de ses ressources en HTTP, le protocole non sécurisé : une image, un script ou une feuille de style restés sur l’ancien protocole. La page n’est alors que partiellement chiffrée, ce que le navigateur signale au visiteur.
Le contenu mixte pénalise-t-il le SEO ?
Pas directement. Google ne sanctionne pas une page pour contenu mixte, mais le HTTPS reste un signal de classement léger. L’impact est indirect : les ressources actives bloquées cassent la page vue par le robot et les visiteurs, et le cadenas barré nuit à la confiance. Une page dégradée dessert le référencement.
Quelle différence entre contenu mixte passif et actif ?
Le contenu mixte passif concerne les images, vidéos et fichiers audio : le navigateur tente de les relever en HTTPS et affiche au pire un avertissement. Le contenu mixte actif concerne les scripts, feuilles de style et iframes : le navigateur les bloque d’office, car ils peuvent altérer toute la page.
Comment trouver le contenu mixte sur son site ?
Ouvrez la console des outils de développement du navigateur sur une page suspecte : l’onglet Sécurité liste les ressources non sécurisées. Pour une vue d’ensemble, un crawl avec Screaming Frog remonte le contenu mixte à l’échelle du site. Des outils en ligne permettent aussi un diagnostic rapide par URL.
Comment corriger le contenu mixte ?
Servez chaque ressource en HTTPS : remplacez les adresses HTTP dans le contenu et la base de données, corrigez le thème et les modules concernés, mettez à jour les ressources externes. L’en-tête Content-Security-Policy upgrade-insecure-requests sert de filet de sécurité complémentaire. Vérifiez enfin canonical, sitemap et liens internes.
Sécuriser votre site, ressource par ressource
Un cadenas vert ne garantit rien tant qu’une page appelle des ressources en HTTP. Le contenu mixte se règle par un nettoyage méthodique, de la base de données aux scripts tiers, suivi d’un contrôle au crawler. Si votre site affiche des avertissements de sécurité, ou si une migration HTTPS traîne des ressources oubliées, un audit technique localise chaque cas et le priorise selon sa gravité. Parlons de votre site et de son passage en HTTPS complet.
Article rédigé par Yonel Sasson, Getknown, agence SEO et GEO.