CSP: block-all-mixed-content

非推奨: この機能は非推奨になりました。まだ対応しているブラウザーがあるかもしれませんが、すでに関連するウェブ標準から削除されているか、削除の手続き中であるか、互換性のためだけに残されている可能性があります。使用を避け、できれば既存のコードは更新してください。このページの下部にある互換性一覧表を見て判断してください。この機能は突然動作しなくなる可能性があることに注意してください。

警告: このディレクティブは、仕様上、廃止されたものとしてマークされています。すべての混合コンテンツは、自動アップグレードできない場合、ブロックされるようになりました。

HTTP の Content-Security-Policy (CSP) block-all-mixed-content ディレクティブは、ページが HTTPS を使用しているときに HTTP で資産を読み込むことを防ぎます。

能動的および受動的の両方を含む、すべての混合コンテンツリソースのリクエストがブロックされます。これは <iframe> の文書にも適用され、ページ全体で混合コンテンツがないことを保証します。

メモ: upgrade-insecure-requests ディレクティブが block-all-mixed-content の前に評価されます。 前者が設定されていれば、後者は何もしません。どちらかのディレクティブを設定してください。 HTTP にリダイレクトした後で HTTPS を強制することができない古いブラウザーで HTTPS を強制させたくない限り、両方の効果はありません。

構文

http
Content-Security-Policy: block-all-mixed-content;

http
Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

より詳細なレベルで http 資産を無効にするには、個々のディレクティブに https: を設定することもできます。 安全ではない HTTP の画像を許可しないようにするには次のようにします。

http
Content-Security-Policy: img-src https:

仕様書

現在のどの仕様にも属していません。 古い仕様書である Mixed Content Level 1 で定義されていたものです。

ブラウザーの互換性

BCD tables only load in the browser

関連情報