CSP: block-all-mixed-content

Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, kann sie bereits aus den relevanten Webstandards entfernt worden sein, befindet sich im Prozess der Entfernung oder wird nur aus Kompatibilitätsgründen beibehalten. Vermeiden Sie die Verwendung und aktualisieren Sie gegebenenfalls bestehenden Code; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu treffen. Beachten Sie, dass diese Funktion jederzeit nicht mehr funktionieren kann.

Warnung: Diese Direktive ist in der Spezifikation als veraltet gekennzeichnet. Diese Direktive wurde früher verwendet, um das unsichere Abrufen und Anzeigen von "optionell blockierbaren" Mixed Content zu verhindern. Nicht blockierter Inhalt wird jetzt immer auf eine sichere Verbindung hochgestuft, daher ist diese Direktive nicht mehr notwendig.

Die HTTP Content-Security-Policy (CSP) block-all-mixed-content Direktive verhindert das Laden jeglicher Ressourcen über HTTP, wenn die Seite HTTPS verwendet.

Alle Mixed Content Anfragen für Ressourcen werden blockiert, einschließlich sowohl blockierbarer als auch hochstufbarer Mixed Content. Dies gilt auch für <iframe> Dokumente, wodurch sichergestellt wird, dass die gesamte Seite frei von Mixed Content ist.

Hinweis: Die upgrade-insecure-requests Direktive wird vor block-all-mixed-content ausgewertet. Wenn die erstere gesetzt ist, macht die letztere nichts, daher sollten Sie eine der beiden Direktiven setzen – nicht beide, es sei denn, Sie möchten HTTPS bei älteren Browsern erzwingen, die es nach einer Umleitung zu HTTP nicht erzwingen.

Syntax

http
Content-Security-Policy: block-all-mixed-content;

Beispiele

http
Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

Um HTTP-Ressourcen auf einer granulareren Ebene zu verbieten, können Sie auch einzelne Direktiven auf https: setzen. Zum Beispiel, um unsichere HTTP-Bilder zu verbieten:

http
Content-Security-Policy: img-src https:

Spezifikationen

Nicht Teil einer aktuellen Spezifikation. Früher definiert in der veralteten Mixed Content Level 1 Spezifikation.

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch