CSP: block-all-mixed-content

优质
小牛编辑
126浏览
2023-12-01

HTTP Content-Security-Policy(CSP)block-all-mixed-content指令可防止在使用 HTTPS 加载页面时使用 HTTP 加载任何资产。

所有混合内容资源请求都被阻止,包括主动和被动混合内容。这也适用于 <iframe>文档,确保整个页面都是免费的混合内容。

upgrade-insecure-requests指令在之前被评估block-all-mixed-content,如果前者被设置,后者实际上是没有操作的。建议设置一个指令或另一个 - 而不是两个。

句法

Content-Security-Policy: block-all-mixed-content;

示例

Content-Security-Policy: block-all-mixed-content;<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

要更精细地禁止http资产,您还可以将单个指令设置为“https:”。例如,要禁止不安全的http映像:

Content-Security-Policy: img-src https:

规范

规范

状态

评论

混合内容该规范中的“block-all-mixed-content”的定义。

候选推荐

初始定义。

浏览器兼容性

特征

Chrome

Firefox

Edge

Internet Explorer

Opera

Safari

基本支持

(Yes)

48.0

?

(No)

(Yes)

?

特征

Android

Chrome for Android

Edge mobile

Firefox for Android

IE mobile

Opera Android

iOS Safari

基本支持

?

(Yes)

?

48.0

(No)

?

?