CSP: block-all-mixed-content

Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.

Warnung: Diese Direktive ist in der Spezifikation als veraltet gekennzeichnet. Diese Direktive wurde früher verwendet, um das unsichere Abrufen und Anzeigen von "optionell blockierbaren" Mixed Content zu verhindern. Nicht blockierter Inhalt wird jetzt immer auf eine sichere Verbindung hochgestuft, daher ist diese Direktive nicht mehr notwendig.

Die HTTP Content-Security-Policy (CSP) block-all-mixed-content Direktive verhindert das Laden jeglicher Ressourcen über HTTP, wenn die Seite HTTPS verwendet.

Alle Mixed Content Anfragen für Ressourcen werden blockiert, einschließlich sowohl blockierbarer als auch hochstufbarer Mixed Content. Dies gilt auch für <iframe> Dokumente, wodurch sichergestellt wird, dass die gesamte Seite frei von Mixed Content ist.

Hinweis: Die upgrade-insecure-requests Direktive wird vor block-all-mixed-content ausgewertet. Wenn die erstere gesetzt ist, macht die letztere nichts, daher sollten Sie eine der beiden Direktiven setzen – nicht beide, es sei denn, Sie möchten HTTPS bei älteren Browsern erzwingen, die es nach einer Umleitung zu HTTP nicht erzwingen.

Syntax

http
Content-Security-Policy: block-all-mixed-content;

Beispiele

http
Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

Um HTTP-Ressourcen auf einer granulareren Ebene zu verbieten, können Sie auch einzelne Direktiven auf https: setzen. Zum Beispiel, um unsichere HTTP-Bilder zu verbieten:

http
Content-Security-Policy: img-src https:

Spezifikationen

Nicht Teil einer aktuellen Spezifikation. Früher definiert in der veralteten Mixed Content Level 1 Spezifikation.

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
block-all-mixed-content
Deprecated

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support
Deprecated. Not for use in new websites.
See implementation notes.

Siehe auch