©
This document uses PHP Chinese website manual Release
HTTP Content-Security-Policy
(CSP)block-all-mixed-content
指令可防止在使用 HTTPS 加载页面时使用 HTTP 加载任何资产。
所有混合内容资源请求都被阻止,包括主动和被动混合内容。这也适用于 <iframe>
文档,确保整个页面都是免费的混合内容。
upgrade-insecure-requests
指令在之前被评估block-all-mixed-content
,如果前者被设置,后者实际上是没有操作的。建议设置一个指令或另一个 - 而不是两个。
Content-Security-Policy: block-all-mixed-content;
Content-Security-Policy: block-all-mixed-content;<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
要更精细地禁止http资产,您还可以将单个指令设置为“https:”。例如,要禁止不安全的http映像:
Content-Security-Policy: img-src https:
规范 | 状态 | 评论 |
---|---|---|
混合内容该规范中的“block-all-mixed-content”的定义。 | 候选推荐 | 初始定义。 |
特征 | Chrome | Firefox | Edge | Internet Explorer | Opera | Safari |
---|---|---|---|---|---|---|
基本支持 | (Yes) | 48.0 | ? | (No) | (Yes) | ? |
特征 | Android | Chrome for Android | Edge mobile | Firefox for Android | IE mobile | Opera Android | iOS Safari |
---|---|---|---|---|---|---|---|
基本支持 | ? | (Yes) | ? | 48.0 | (No) | ? | ? |