如何完全阻止任何mixed content加载?
目前的浏览器已经阻止活动混合内容(脚本)。我真正想要的是阻止包括图像在内的所有内容。
这样做的目的是立即将每个违规图像或文件视为损坏,但不会在地址栏中看到不明确的警告。
是否有跨浏览器的方式来做到这一点?
答案 0 :(得分:5)
严格阻止所有混合内容的标准方法:block-all-mixed-content CSP directive。
在最简单的情况下,如果您没有设置其他CSP指令,则只需发送此标头:
Content-Security-Policy: block-all-mixed-content
由于并非每个浏览器都支持此指令,因此可以改为发送an extended header:
Content-Security-Policy: img-src https: data:
其他选项是强制所有普通的http请求通过https:
Content-Security-Policy: upgrade-insecure-requests