Content-Security-Policy: block-all-mixed-content Directive
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Warnung: Diese Direktive ist im Spezifikationsentwurf als veraltet gekennzeichnet. Diese Direktive wurde zuvor verwendet, um das unsichere Abrufen und Anzeigen von "optional blockierbaren" gemischten Inhalten zu verhindern. Inhalte, die nicht blockiert werden, werden nun immer auf eine sichere Verbindung hochgestuft, daher ist diese Direktive nicht mehr erforderlich.
Die HTTP Content-Security-Policy (CSP) block-all-mixed-content Direktive verhindert das Laden von Ressourcen über HTTP, wenn die Seite HTTPS verwendet.
Alle gemischten Inhalte werden blockiert, einschließlich sowohl blockierbarer als auch hochstufbarer gemischter Inhalte. Dies gilt auch für <iframe>-Dokumente, um sicherzustellen, dass die gesamte Seite frei von gemischtem Inhalt ist.
Hinweis:
Die upgrade-insecure-requests Direktive wird vor block-all-mixed-content ausgewertet.
Wenn erstere gesetzt ist, bewirkt letztere nichts, daher setzen Sie entweder die eine oder die andere Direktive – nicht beide, es sei denn, Sie möchten HTTPS in älteren Browsern erzwingen, die es nach einer Weiterleitung zu HTTP nicht erzwingen.
Syntax
Content-Security-Policy: block-all-mixed-content;
Beispiele
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Um HTTP-Ressourcen auf einer detaillierteren Ebene zu verbieten, können Sie auch individuelle Direktiven auf https: setzen.
Zum Beispiel, um unsichere HTTP-Bilder zu verbieten:
Content-Security-Policy: img-src https:
Spezifikationen
Nicht Teil einer aktuellen Spezifikation. War früher in der veralteten Mixed Content Level 1 Spezifikation definiert.