Content-Security-Policy: block-all-mixed-content 指令
已弃用:此特性不再推荐。虽然某些浏览器可能仍然支持它,但它可能已经从相关的网络标准中删除,可能正在删除过程中,或者可能仅为兼容性目的而保留。请避免使用它,如果可能,请更新现有代码;请参阅本页底部的兼容性表格以指导您的决策。请注意,此特性可能随时停止工作。
警告: 此指令在规范中标记为已过时。此指令以前用于阻止“可选可阻止的”混合内容通过不安全的方式获取和显示。现在,未被阻止的内容总是升级到安全连接,因此不再需要此指令。
HTTP Content-Security-Policy (CSP) 的 block-all-mixed-content 指令在页面使用 HTTPS 时,会阻止加载任何通过 HTTP 获取的资源。
所有混合内容资源请求都将被阻止,包括可阻止的混合内容和可升级的混合内容。这也适用于 <iframe> 文档,确保整个页面不含混合内容。
注意: upgrade-insecure-requests 指令在 block-all-mixed-content 之前进行评估。如果设置了前者,则后者无效,因此请设置其中一个指令,而不是同时设置两者,除非你想在不支持重定向到 HTTP 后强制执行 HTTPS 的旧浏览器上强制使用 HTTPS。
语法
http
Content-Security-Policy: block-all-mixed-content;
示例
http
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
若要更精细地禁止 HTTP 资源,你还可以将单独的指令设置为 https:。例如,要禁止不安全的 HTTP 图像:
http
Content-Security-Policy: img-src https:
规范
不属于任何当前规范。曾被定义在过时的 混合内容级别 1 规范中。
浏览器兼容性
加载中…