CSP:阻止所有混合内容

已弃用:此功能不再推荐使用。尽管某些浏览器可能仍然支持它,但它可能已经从相关的 Web 标准中删除,或者正在被删除过程中,或者可能仅出于兼容性目的而保留。避免使用它,并尽可能更新现有代码;请参见此页面底部的兼容性表以指导您的决策。请注意,此功能可能随时停止工作。

警告:此指令在规范中被标记为已废弃。此指令以前用于阻止以不安全方式获取和显示“可选可阻止”的混合内容。未被阻止的内容现在始终升级到安全连接,因此不需要此指令。

HTTP Content-Security-Policy (CSP) block-all-mixed-content 指令可阻止在页面使用 HTTPS 时通过 HTTP 加载任何资产。

所有混合内容 资源请求都被阻止,包括可阻止和可升级的混合内容。这也适用于<iframe> 文档,确保整个页面都没有混合内容。

注意:upgrade-insecure-requests 指令在 block-all-mixed-content 之前进行评估。如果前者已设置,则后者将不起作用,因此设置一个指令或另一个指令 - 不要同时设置两个指令,除非您想强制在不强制重定向到 HTTP 后强制 HTTPS 的旧浏览器中使用 HTTPS。

语法

http
Content-Security-Policy: block-all-mixed-content;

示例

http
Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

要以更细粒度的方式禁止 http 资产,您还可以将各个指令设置为 https:。例如,要禁止不安全的 HTTP 图像

http
Content-Security-Policy: img-src https:

规范

不是任何当前规范的一部分。以前在过时的混合内容级别 1规范中定义。

浏览器兼容性

BCD 表仅在启用了 JavaScript 的浏览器中加载

另请参阅