block-all-mixed-content est une directive de Content-Security-Policy (CSP) vous permettant de signifier aux clients HTTP/Navigateurs d'empêcher le chargement de ressources HTTP lorsque la page est chargée en HTTPS.
Toutes les requêtes vers des contenus mixtes sont alors bloqués, y compris les ressources actives et passives. Cela s'applique aussi aux documents <iframe>, assurant que la page est complètement protégée contre les contenus mixtes.
La directive upgrade-insecure-requests est évaluée avant block-all-mixed-content. Si elle est définie, alors block-all-mixed-content n'est pas nécessaire, sauf sur d'anciens navigateurs qui ne forcent pas HTTPS après une redirection vers HTTP.
Syntaxe
Content-Security-Policy: block-all-mixed-content;
Exemples
Content-Security-Policy: block-all-mixed-content; <meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur "https:". Par exemple, pour interdire les images HTTP non-sécurisées :
Content-Security-Policy: img-src https:
Spécifications
| Specification | Statut | Commentaire |
|---|---|---|
| Mixed Content La définition de 'block-all-mixed-content' dans cette spécification. |
Candidat au statut de recommandation | Définition initiale. |
Compatibilités navigateurs
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
| Fonctionnalité | Chrome | Edge | Firefox | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|---|
| Support simple | Oui | ? | 48 | Non | Oui | ? |
| Fonctionnalité | Android webview | Chrome for Android | Edge mobile | Firefox for Android | Opera Android | iOS Safari | Samsung Internet |
|---|---|---|---|---|---|---|---|
| Support simple | Oui | Oui | ? | 48 | ? | ? | Oui |