Content-Security-Policy: block-all-mixed-content Direktive
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Warnung: Diese Direktive ist in der Spezifikation als obsolet gekennzeichnet. Diese Direktive wurde zuvor verwendet, um zu verhindern, dass "optional blockierbare" gemischte Inhalte unsicher abgerufen und angezeigt werden. Inhalte, die nicht blockiert werden, werden jetzt immer auf eine sichere Verbindung hochgestuft, daher ist diese Direktive nicht mehr erforderlich.
Der HTTP-Header Content-Security-Policy (CSP) block-all-mixed-content-Direktive verhindert das Laden jeglicher Ressourcen über HTTP, wenn die Seite HTTPS verwendet.
Alle gemischten Inhalte Ressourcenzugriffe werden blockiert, einschließlich sowohl blockierbarer als auch hochstufbarer gemischter Inhalte.
Dies gilt auch für <iframe>-Dokumente, um sicherzustellen, dass die gesamte Seite frei von gemischten Inhalten ist.
Hinweis:
Die Direktive upgrade-insecure-requests wird vor block-all-mixed-content ausgewertet.
Wenn die erstere gesetzt ist, tut die letztere nichts, daher setzen Sie eine Direktive oder die andere – nicht beide, es sei denn, Sie möchten HTTPS in älteren Browsern erzwingen, die es nach einer Umleitung zu HTTP nicht erzwingen.
Syntax
Content-Security-Policy: block-all-mixed-content;
Beispiele
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Um HTTP-Ressourcen auf einer granuleren Ebene zu verbieten, können Sie auch individuelle Direktiven auf https: setzen.
Zum Beispiel, um unsichere HTTP-Bilder zu verbieten:
Content-Security-Policy: img-src https:
Spezifikationen
Teil keiner aktuellen Spezifikation. Wurde zuvor in der veralteten Mixed Content Level 1 Spezifikation definiert.