CSP: block-all-mixed-content
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Warnung: Diese Direktive ist in der Spezifikation als obsolet markiert. Diese Direktive wurde zuvor verwendet, um zu verhindern, dass "optionally blockable" gemischte Inhalte unsicher abgerufen und angezeigt werden. Inhalte, die nicht blockiert werden, werden jetzt immer auf eine sichere Verbindung aufgewertet, daher ist diese Direktive nicht mehr nötig.
Der HTTP-Header Content-Security-Policy (CSP) block-all-mixed-content-Direktive verhindert das Laden von Assets über HTTP, wenn die Seite HTTPS verwendet.
Alle gemischten Inhalte-Ressourcenanfragen werden blockiert, einschließlich blockbarer und aufwertbarer gemischter Inhalte.
Dies gilt auch für <iframe>-Dokumente und stellt sicher, dass die gesamte Seite frei von gemischten Inhalten ist.
Hinweis:
Die Direktive upgrade-insecure-requests wird vor block-all-mixed-content ausgewertet.
Wenn die erstere gesetzt ist, macht die letztere nichts, setzen Sie also entweder die eine oder die andere Direktive – nicht beide, es sei denn, Sie möchten HTTPS in älteren Browsern erzwingen, die es nach einer Umleitung auf HTTP nicht erzwingen.
Syntax
Content-Security-Policy: block-all-mixed-content;
Beispiele
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Um HTTP-Assets auf einer feineren Ebene zu verbieten, können Sie auch einzelne Direktiven auf https: setzen.
Beispielsweise, um unsichere HTTP-Bilder zu verbieten:
Content-Security-Policy: img-src https:
Spezifikationen
Kein Teil einer aktuellen Spezifikation. War zuvor in der veralteten Mixed Content Level 1-Spezifikation definiert.
Browser-Kompatibilität
BCD tables only load in the browser