阻止所有混合内容
Block all mixed content
如何完全阻止任何 mixed content 加载?
当前的浏览器已经在阻止 active 混合内容(脚本)。我真正想要的是阻止所有内容,包括图像。
这样做的目的是立即将每个有问题的图像或文件视为已损坏,而不是在地址栏中显示模棱两可的警告。
是否有跨浏览器的方式来做到这一点?
严格屏蔽所有混合内容的标准方式:block-all-mixed-content CSP directive.
在最简单的情况下,如果您没有设置其他 CSP 指令,则只需发送此 header:
Content-Security-Policy: block-all-mixed-content
由于并非每个浏览器都支持此指令,因此发送 an extended header 可能是可行的:
Content-Security-Policy: img-src https: data:
其他选项是强制所有纯 http 请求通过 https:
Content-Security-Policy: upgrade-insecure-requests
如何完全阻止任何 mixed content 加载?
当前的浏览器已经在阻止 active 混合内容(脚本)。我真正想要的是阻止所有内容,包括图像。
这样做的目的是立即将每个有问题的图像或文件视为已损坏,而不是在地址栏中显示模棱两可的警告。
是否有跨浏览器的方式来做到这一点?
严格屏蔽所有混合内容的标准方式:block-all-mixed-content CSP directive.
在最简单的情况下,如果您没有设置其他 CSP 指令,则只需发送此 header:
Content-Security-Policy: block-all-mixed-content
由于并非每个浏览器都支持此指令,因此发送 an extended header 可能是可行的:
Content-Security-Policy: img-src https: data:
其他选项是强制所有纯 http 请求通过 https:
Content-Security-Policy: upgrade-insecure-requests