La directive HTTP Content-Security-Policy
(CSP) block-all-mixed-content
bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.
Toutes les requĂȘtes vers des contenus mixtes sont alors bloquĂ©es, y compris les ressources actives et passives. Cela s'applique aussi aux documents <iframe>
, assurant que la page est complÚtement protégée contre les contenus mixtes.
Note : La directive upgrade-insecure-requests
est évaluée avant block-all-mixed-content
. Si elle est définie, alors block-all-mixed-content
n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas aprÚs une redirection vers HTTP.
Syntaxe
Content-Security-Policy: block-all-mixed-content;
Exemples
Content-Security-Policy: block-all-mixed-content; <meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Pour interdire l'usage de HTTP de maniĂšre plus fine, vous pouvez aussi configurer individuellement chaque directive sur https:
. Par exemple, pour interdire les images HTTP non sécurisées :
Content-Security-Policy: img-src https:
Spécifications
Specification | Statut | Commentaire |
---|---|---|
Mixed Content La définition de 'block-all-mixed-content' dans cette spécification. |
Candidat au statut de recommandation | Définition initiale. |
Compatibilités navigateurs
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
No compatibility data found. Please contribute data for "http.headers.csp.block-all-mixed-content" (depth: 1) to the MDN compatibility data repository.