CSP:阻止所有混合内容
已弃用:此功能不再推荐使用。尽管某些浏览器可能仍然支持它,但它可能已经从相关的 Web 标准中删除,或者正在被删除过程中,或者可能仅出于兼容性目的而保留。避免使用它,并尽可能更新现有代码;请参见此页面底部的兼容性表以指导您的决策。请注意,此功能可能随时停止工作。
警告:此指令在规范中被标记为已废弃。此指令以前用于阻止以不安全方式获取和显示“可选可阻止”的混合内容。未被阻止的内容现在始终升级到安全连接,因此不需要此指令。
HTTP Content-Security-Policy
(CSP) block-all-mixed-content
指令可阻止在页面使用 HTTPS 时通过 HTTP 加载任何资产。
所有混合内容 资源请求都被阻止,包括可阻止和可升级的混合内容。这也适用于<iframe>
文档,确保整个页面都没有混合内容。
注意:upgrade-insecure-requests
指令在 block-all-mixed-content
之前进行评估。如果前者已设置,则后者将不起作用,因此设置一个指令或另一个指令 - 不要同时设置两个指令,除非您想强制在不强制重定向到 HTTP 后强制 HTTPS 的旧浏览器中使用 HTTPS。
语法
http
Content-Security-Policy: block-all-mixed-content;
示例
http
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
要以更细粒度的方式禁止 http 资产,您还可以将各个指令设置为 https:
。例如,要禁止不安全的 HTTP 图像
http
Content-Security-Policy: img-src https:
规范
不是任何当前规范的一部分。以前在过时的混合内容级别 1规范中定义。
浏览器兼容性
BCD 表仅在启用了 JavaScript 的浏览器中加载