CSP: block-all-mixed-content - HTTP 编辑

HTTP 协议首部字段 Content-Security-Policy (CSP) 中的 block-all-mixed-content 指令在当前页面为通过 HTTPS 协议加载的情况下禁止通过 HTTP 渠道加载任何资源。

任何混合类型的资源请求都是被禁止的,包括混合活动内容和混合被动内容。这一条也适用于 <iframe> 中的文档,确保整体页面都不包含混合内容。

upgrade-insecure-requests 指令会在 block-all-mixed-content 之前执行;如果前者执行成功,后者就不再发挥任何作用。推荐的做法是设置二者之一,而不是全部。

语法

Content-Security-Policy: block-all-mixed-content;

示例

Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

为了在更细粒度上限制对 http 资源的访问,你可以将个别指令的值设置为 "https:"。例如,为了限制对不安全的走 http 协议的图片的访问,可以这么做:

Content-Security-Policy: img-src https:

规范

SpecificationStatusComment
Mixed Content
block-all-mixed-content
Candidate RecommendationInitial definition.

浏览器兼容性

No compatibility data found. Please contribute data for "http.headers.csp.block-all-mixed-content" (depth: 1) to the MDN compatibility data repository.

相关内容

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据

词条统计

浏览:92 次

字数:3464

最后编辑:7 年前

编辑次数:0 次

    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文