CSP: block-all-mixed-content

非推奨;: この機能は非推奨になりました。まだ対応しているブラウザーがあるかもしれませんが、すでに関連するウェブ標準から削除されているか、削除の手続き中であるか、互換性のためだけに残されている可能性があります。使用を避け、できれば既存のコードは更新してください。このページの下部にある互換性一覧表を見て判断してください。この機能は突然動作しなくなる可能性があることに注意してください。

警告: このディレクティブは、仕様上、廃止されたものとしてマークされています。すべての混合コンテンツは、自動アップグレードできない場合、ブロックされるようになりました。

HTTP の Content-Security-Policy (CSP) block-all-mixed-content ディレクティブは、ページが HTTPS を使用しているときに HTTP で資産を読み込むことを防ぎます。

能動的および受動的の両方を含む、すべての混合コンテンツリソースのリクエストがブロックされます。これは <iframe> の文書にも適用され、ページ全体で混合コンテンツがないことを保証します。

メモ: upgrade-insecure-requests ディレクティブが block-all-mixed-content の前に評価されます。 前者が設定されていれば、後者は何もしません。どちらかのディレクティブを設定してください。 HTTP にリダイレクトした後で HTTPS を強制することができない古いブラウザーで HTTPS を強制させたくない限り、両方の効果はありません。

構文

http
Content-Security-Policy: block-all-mixed-content;

http
Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

より詳細なレベルで http 資産を無効にするには、個々のディレクティブに https: を設定することもできます。 安全ではない HTTP の画像を許可しないようにするには次のようにします。

http
Content-Security-Policy: img-src https:

仕様書

現在のどの仕様にも属していません。 古い仕様書である Mixed Content Level 1 で定義されていたものです。

ブラウザーの互換性

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
block-all-mixed-content
Deprecated

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support
Deprecated. Not for use in new websites.
See implementation notes.

関連情報