1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Content-Security-Policy
  6. block-all-mixed-content

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Content-Security-Policy: block-all-mixed-content Richtlinie

Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.

Warnung: Diese Richtlinie ist in der Spezifikation als veraltet gekennzeichnet. Diese Richtlinie wurde zuvor verwendet, um das Abrufen und Anzeigen von "optional blockierbarem" gemischtem Inhalt über unsichere Verbindungen zu verhindern. Inhalte, die nicht blockiert werden, werden jetzt immer auf eine sichere Verbindung umgestellt, daher ist diese Richtlinie nicht mehr erforderlich.

Die HTTP Content-Security-Policy (CSP) block-all-mixed-content Richtlinie verhindert das Laden von Ressourcen über HTTP, wenn die Seite HTTPS verwendet.

Alle gemischten Inhalte Anfragen werden blockiert, einschließlich sowohl blockierbarer als auch aufrüstbarer gemischter Inhalte. Dies gilt auch für <iframe> Dokumente und stellt sicher, dass die gesamte Seite frei von gemischten Inhalten ist.

Hinweis: Die upgrade-insecure-requests Richtlinie wird vor block-all-mixed-content ausgewertet. Wenn die erstgenannte Richtlinie gesetzt ist, macht die zweitgenannte nichts, daher setzen Sie entweder die eine oder die andere Richtlinie – nicht beide, es sei denn, Sie möchten HTTPS auf älteren Browsern erzwingen, die es nach einer Umleitung auf HTTP nicht erzwingen.

Syntax

http
Content-Security-Policy: block-all-mixed-content;

Beispiele

http
Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

Um HTTP-Ressourcen auf einer granulareren Ebene zu verbieten, können Sie auch einzelne Richtlinien auf https: setzen. Zum Beispiel, um unsichere HTTP-Bilder zu verbieten:

http
Content-Security-Policy: img-src https:

Spezifikationen

Spezifikation
Mixed Content
# strict-checking

Browser-Kompatibilität

Siehe auch

Help improve MDN

Erfahren Sie, wie Sie beitragen können Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden