CSP: block-all-mixed-content
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Warnung: Diese Direktive ist in der Spezifikation als veraltet gekennzeichnet. Diese Direktive wurde früher verwendet, um das unsichere Abrufen und Anzeigen von "optionell blockierbaren" Mixed Content zu verhindern. Nicht blockierter Inhalt wird jetzt immer auf eine sichere Verbindung hochgestuft, daher ist diese Direktive nicht mehr notwendig.
Die HTTP Content-Security-Policy
(CSP) block-all-mixed-content
Direktive verhindert das Laden jeglicher Ressourcen über HTTP, wenn die Seite HTTPS verwendet.
Alle Mixed Content Anfragen für Ressourcen werden blockiert, einschließlich sowohl blockierbarer als auch hochstufbarer Mixed Content.
Dies gilt auch für <iframe>
Dokumente, wodurch sichergestellt wird, dass die gesamte Seite frei von Mixed Content ist.
Hinweis:
Die upgrade-insecure-requests
Direktive wird vor block-all-mixed-content
ausgewertet.
Wenn die erstere gesetzt ist, macht die letztere nichts, daher sollten Sie eine der beiden Direktiven setzen – nicht beide, es sei denn, Sie möchten HTTPS bei älteren Browsern erzwingen, die es nach einer Umleitung zu HTTP nicht erzwingen.
Syntax
Content-Security-Policy: block-all-mixed-content;
Beispiele
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Um HTTP-Ressourcen auf einer granulareren Ebene zu verbieten, können Sie auch einzelne Direktiven auf https:
setzen.
Zum Beispiel, um unsichere HTTP-Bilder zu verbieten:
Content-Security-Policy: img-src https:
Spezifikationen
Nicht Teil einer aktuellen Spezifikation. Früher definiert in der veralteten Mixed Content Level 1 Spezifikation.
Browser-Kompatibilität
BCD tables only load in the browser