HTTP Content-Security-Policy(CSP)block-all-mixed-content指令可防止在使用 HTTPS 加载页面时使用 HTTP 加载任何资产。
所有混合内容资源请求都被阻止,包括主动和被动混合内容。这也适用于 文档,确保整个页面都是免费的混合内容。
upgrade-insecure-requests指令在之前被评估block-all-mixed-content,如果前者被设置,后者实际上是没有操作的。建议设置一个指令或另一个 – 而不是两个。
句法
Content-Security-Policy: block-all-mixed-content;
示例
Content-Security-Policy: block-all-mixed-content;
要更精细地禁止http资产,您还可以将单个指令设置为“https:”。例如,要禁止不安全的http映像:
Content-Security-Policy: img-src https:
规范
规范
状态
评论
混合内容该规范中的“block-all-mixed-content”的定义。
候选推荐
初始定义。
浏览器兼容性
特征
Chrome
Firefox
Edge
Internet Explorer
Opera
Safari
基本支持
(Yes)
48.0
?
(No)
(Yes)
?
特征
Android
Chrome for Android
Edge mobile
Firefox for Android
IE mobile
Opera Android
iOS Safari
基本支持
?
(Yes)
?
48.0
(No)
?
?