星期五, 2020-12-25 07:46 — adminshiping1

CSP: block-all-mixed-content

HTTP Content-Security-Policy（CSP）block-all-mixed-content指令可防止在使用 HTTPS 加载页面时使用 HTTP 加载任何资产。

所有混合内容资源请求都被阻止，包括主动和被动混合内容。这也适用于 <iframe> 文档，确保整体页面都不包含混合内容。

upgrade-insecure-requests指令在之前被评估block-all-mixed-content，如果前者被设置，后者实际上是没有操作的。建议设置一个指令或另一个 - 而不是两个。

句法

Content-Security-Policy: block-all-mixed-content;

示例

Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

要更精细地禁止http资产，您还可以将单个指令设置为“https:”。例如，要禁止不安全的http映像：

Content-Security-Policy: img-src https:

规范

规范
状态
评论
混合内容该规范中的“block-all-mixed-content”的定义。
候选推荐
初始定义。

规范	状态	评论
混合内容该规范中的“block-all-mixed-content”的定义。	候选推荐	初始定义。

浏览器兼容性

特征
Chrome
Firefox
Edge
Internet Explorer
Opera
Safari
基本支持
(Yes)
48.0
?
(No)
(Yes)
?

特征	Chrome	Firefox	Edge	Internet Explorer	Opera	Safari
基本支持	(Yes)	48.0	?	(No)	(Yes)	?

特征
Android
Chrome for Android
Edge mobile
Firefox for Android
IE mobile
Opera Android
iOS Safari
基本支持
?
(Yes)
?
48.0
(No)
?
?

特征	Android	Chrome for Android	Edge mobile	Firefox for Android	IE mobile	Opera Android	iOS Safari
基本支持	?	(Yes)	?	48.0	(No)	?	?

本文档系腾讯云云+社区成员共同维护，如有问题请联系 yunjia_community@tencent.com

普通分类:

You are here