CSP: block-all-mixed-content

La directive HTTP Content-Security-Policy (CSP) block-all-mixed-content bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.

Toutes les requĂȘtes vers des contenus mixtes sont alors bloquĂ©es, y compris les ressources actives et passives. Cela s'applique aussi aux documents <iframe>, assurant que la page est complĂštement protĂ©gĂ©e contre les contenus mixtes.

Note : La directive upgrade-insecure-requests est Ă©valuĂ©e avant block-all-mixed-content. Si elle est dĂ©finie, alors block-all-mixed-content n'est pas nĂ©cessaire, Ă  moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas aprĂšs une redirection vers HTTP.

Syntaxe

Content-Security-Policy: block-all-mixed-content;

Exemples

Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

Pour interdire l'usage de HTTP de maniÚre plus fine, vous pouvez aussi configurer individuellement chaque directive sur https:. Par exemple, pour interdire les images HTTP non sécurisées :

Content-Security-Policy: img-src https:

Spécifications

Specification Statut Commentaire
Mixed Content
La définition de 'block-all-mixed-content' dans cette spécification.
Candidat au statut de recommandation DĂ©finition initiale.

Compatibilités navigateurs

No compatibility data found. Please contribute data for "http.headers.csp.block-all-mixed-content" (depth: 1) to the MDN compatibility data repository.

Voir Ă©galement