我正在将网站迁移到https,但我们的广告投放网络通常会通过http发送非安全广告,从而产生“混合内容”警告。与服务工作者阻止/存根所有http请求是一个好主意吗?
答案 0 :(得分:3)
您可以使用CSP阻止所有非https请求:
Content-Security-Policy: block-all-mixed-content
它会将http请求重写为https。如果你只是想阻止他们,那么这样的事情应该有效:
Content-Security-Policy: default-src 'self' data: 'unsafe-inline' 'unsafe-eval' https:;
更多详情:https://scotthelme.co.uk/migrating-from-http-to-https-ease-the-pain-with-csp-and-hsts/
https://report-uri.io/home/generate (我认为这比使用服务工作者更好......)
警告:如果误用,CSP可以阻止合法请求和/或内联脚本/ css /插件......