Content-Security-Policy: block-all-mixed-content 指令
已棄用:此特性不再推薦。雖然某些瀏覽器可能仍然支援它,但它可能已經從相關的網路標準中刪除,可能正在刪除過程中,或者可能僅為相容性目的而保留。請避免使用它,如果可能,請更新現有程式碼;請參閱本頁底部的相容性表格以指導您的決策。請注意,此特性可能隨時停止工作。
警告: 此指令在規範中標記為已過時。此指令以前用於阻止“可選可阻止的”混合內容透過不安全的方式獲取和顯示。現在,未被阻止的內容總是升級到安全連線,因此不再需要此指令。
HTTP Content-Security-Policy (CSP) 的 block-all-mixed-content 指令在頁面使用 HTTPS 時,會阻止載入任何透過 HTTP 獲取的資源。
所有混合內容資源請求都將被阻止,包括可阻止的混合內容和可升級的混合內容。這也適用於 <iframe> 文件,確保整個頁面不含混合內容。
注意: upgrade-insecure-requests 指令在 block-all-mixed-content 之前進行評估。如果設定了前者,則後者無效,因此請設定其中一個指令,而不是同時設定兩者,除非你想在不支援重定向到 HTTP 後強制執行 HTTPS 的舊瀏覽器上強制使用 HTTPS。
語法
http
Content-Security-Policy: block-all-mixed-content;
示例
http
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
若要更精細地禁止 HTTP 資源,你還可以將單獨的指令設定為 https:。例如,要禁止不安全的 HTTP 影像:
http
Content-Security-Policy: img-src https:
規範
不屬於任何當前規範。曾被定義在過時的 混合內容級別 1 規範中。
瀏覽器相容性
載入中…