CSP:阻止所有混合內容
已棄用:此功能不再推薦使用。儘管某些瀏覽器可能仍然支援它,但它可能已經從相關的 Web 標準中刪除,或者正在被刪除過程中,或者可能僅出於相容性目的而保留。避免使用它,並儘可能更新現有程式碼;請參見此頁面底部的相容性表以指導您的決策。請注意,此功能可能隨時停止工作。
警告:此指令在規範中被標記為已廢棄。此指令以前用於阻止以不安全方式獲取和顯示“可選可阻止”的混合內容。未被阻止的內容現在始終升級到安全連線,因此不需要此指令。
HTTP Content-Security-Policy (CSP) block-all-mixed-content 指令可阻止在頁面使用 HTTPS 時透過 HTTP 載入任何資產。
所有混合內容 資源請求都被阻止,包括可阻止和可升級的混合內容。這也適用於<iframe> 文件,確保整個頁面都沒有混合內容。
注意:upgrade-insecure-requests 指令在 block-all-mixed-content 之前進行評估。如果前者已設定,則後者將不起作用,因此設定一個指令或另一個指令 - 不要同時設定兩個指令,除非您想強制在不強制重定向到 HTTP 後強制 HTTPS 的舊瀏覽器中使用 HTTPS。
語法
http
Content-Security-Policy: block-all-mixed-content;
示例
http
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
要以更細粒度的方式禁止 http 資產,您還可以將各個指令設定為 https:。例如,要禁止不安全的 HTTP 影像
http
Content-Security-Policy: img-src https:
規範
不是任何當前規範的一部分。以前在過時的混合內容級別 1規範中定義。
瀏覽器相容性
BCD 表僅在啟用了 JavaScript 的瀏覽器中載入