CSP: block-all-mixed-content
非推奨;: この機能は非推奨になりました。まだ対応しているブラウザーがあるかもしれませんが、すでに関連するウェブ標準から削除されているか、削除の手続き中であるか、互換性のためだけに残されている可能性があります。使用を避け、できれば既存のコードは更新してください。このページの下部にある互換性一覧表を見て判断してください。この機能は突然動作しなくなる可能性があることに注意してください。
警告: このディレクティブは、仕様上、廃止されたものとして位置づけられています。 このディレクティブは、以前は「オプションでブロック可能な」混在コンテンツを安全でない方法で取得し、表示することを防ぐために使用されていました。 ブロックされないコンテンツは、常に保護された接続にアップグレードするようになったので、このディレクティブは必要ありません。
HTTP の Content-Security-Policy (CSP) block-all-mixed-content ディレクティブは、ページが HTTPS を使用しているときに HTTP で資産を読み込むことを防ぎます。
すべての混在コンテンツのリソースのリクエストは、ブロック可能であるものやアップグレード可能であるものを含め、ブロックされます。これは <iframe> の文書にも適用され、ページ全体で混在コンテンツがないことを保証します。
メモ: upgrade-insecure-requests ディレクティブが block-all-mixed-content の前に評価されます。
前者が設定されていれば、後者は何もしません。どちらかのディレクティブを設定してください。 HTTP にリダイレクトした後で HTTPS を強制することができない古いブラウザーで HTTPS を強制させたくない限り、両方の効果はありません。
構文
Content-Security-Policy: block-all-mixed-content;
例
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
より詳細なレベルで http 資産を無効にするには、個々のディレクティブに https: を設定することもできます。
安全ではない HTTP の画像を許可しないようにするには次のようにします。
Content-Security-Policy: img-src https:
仕様書
現在のどの仕様にも属していません。 古い仕様書である Mixed Content Level 1 で定義されていたものです。