https - 阻止所有混合内容

Question

如何完全防止加载任何混合内容？

当前的浏览器已经阻止了活动的混合内容（脚本）。我真正想要的是阻止所有这些，包括图像。

这样做的目的是立即将每个有问题的图像或文件视为损坏，而不是地址栏中的模棱两可的警告。

有没有跨浏览器的方法来做到这一点？

Answer 1

严格阻止所有混合内容的标准方法：block-all-mixed-contentCSP 指令。

在最简单的情况下，如果您不设置其他 CSP 指令，则只需发送此标头：

Content-Security-Policy: block-all-mixed-content

由于并非每个浏览器都支持此指令，因此发送扩展标头可能是可行的：

Content-Security-Policy: img-src https: data:

其他选项是强制所有普通的 http 请求通过 https：

Content-Security-Policy: upgrade-insecure-requests