CSP: block-all-mixed-content

block-all-mixed-content est une directive de Content-Security-Policy (CSP) vous permettant de signifier aux clients HTTP/Navigateurs d'empêcher le chargement de ressources HTTP lorsque la page est chargée en HTTPS.

Toutes les requêtes vers des contenus mixtes sont alors bloqués, y compris les ressources actives et passives. Cela s'applique aussi aux documents <iframe>, assurant que la page est complètement protégée contre les contenus mixtes.

La directive upgrade-insecure-requests est évaluée avant block-all-mixed-content. Si elle est définie, alors block-all-mixed-content n'est pas nécessaire, sauf sur d'anciens navigateurs qui ne forcent pas HTTPS après une redirection vers HTTP.

Syntaxe

Content-Security-Policy: block-all-mixed-content;

Exemples

Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur "https:". Par exemple, pour interdire les images HTTP non-sécurisées :

Content-Security-Policy: img-src https:

Spécifications

Specification Statut Commentaire
Mixed Content
La définition de 'block-all-mixed-content' dans cette spécification.
Candidat au statut de recommandation Définition initiale.

Compatibilités navigateurs

FonctionnalitéChromeEdgeFirefoxInternet ExplorerOperaSafari
Support simple Oui ?48 Non Oui ?
FonctionnalitéAndroid webviewChrome for AndroidEdge mobileFirefox for AndroidOpera AndroidiOS SafariSamsung Internet
Support simple Oui Oui ?48 ? ? Oui

Voir également

Étiquettes et contributeurs liés au document

Contributeurs à cette page : borisschapira
Dernière mise à jour par : borisschapira,