HTTP の Content-Security-Policy (CSP) block-all-mixed-content ディレクティブは、ページが HTTPS を使用しているときに HTTP で資産を読み込むことを防ぎます。
能動的および受動的の両方を含む、すべての混合コンテンツリソースのリクエストがブロックされます。これは <iframe> の文書にも適用され、ページ全体で混合コンテンツがないことを保証します。
upgrade-insecure-requests ディレクティブが block-all-mixed-content の前に評価されます。前者が設定されていれば、後者は何もしません。どちらかのディレクティブを設定してください。 HTTP にリダイレクトした後で HTTPS を強制することができない古いブラウザーで HTTPS を強制させたくない限り、両方の効果はありません。
構文
Content-Security-Policy: block-all-mixed-content;
例
Content-Security-Policy: block-all-mixed-content; <meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
もっと細かい水準で資産の http を禁止するには、個別のディレクティブを https: に設定することができます。安全ではない HTTP の画像を許可しないようにするには次のようにします。
Content-Security-Policy: img-src https:
仕様書
| 仕様書 | 状態 | 備考 |
|---|---|---|
| Mixed Content block-all-mixed-content の定義 |
勧告候補 | 初回定義 |
ブラウザーの互換性
このページの互換性一覧表は構造化データから生成されています。データに協力していただけるのであれば、 https://github.com/mdn/browser-compat-data をチェックアウトしてプルリクエストを送信してください。
Update compatibility data on GitHub
| デスクトップ | モバイル | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
block-all-mixed-content | Chrome 完全対応 あり | Edge 完全対応 ≤79 | Firefox 完全対応 48 | IE 未対応 なし | Opera 完全対応 あり | Safari ? | WebView Android 完全対応 あり | Chrome Android 完全対応 あり | Firefox Android 完全対応 48 | Opera Android ? | Safari iOS ? | Samsung Internet Android 完全対応 あり |
凡例
- 完全対応
- 完全対応
- 未対応
- 未対応
- 実装状況不明
- 実装状況不明