HTTP の Content-Security-Policy (CSP) block-all-mixed-content ディレクティブは、ページが HTTPS を使用して読み込まれたときに、 HTTP を使用して資産を読み込むことを防ぎます。

能動的及び受動的の両方を含む、すべての混合コンテンツリソースのリクエストがブロックされます。これは <iframe> の文書にも適用され、ページ全体で混合コンテンツがないことを保証します。

upgrade-insecure-requests ディレクティブは block-all-mixed-content の前に評価され、前者が設定されていれば後者は何もしません。どちらかのディレクティブを設定することをお勧めしますが、 HTTP にリダイレクトした後で HTTPS を強制することができない古いブラウザーで HTTPS を強制させたくない限り、両方を指定することはできません。

構文

Content-Security-Policy: block-all-mixed-content;

Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

もっと細かい水準で資産の http を禁止するには、個別のディレクティブを "https:" に設定することができます。安全ではない http の画像を許可しないようにするには次のようにします。

Content-Security-Policy: img-src https:

仕様書

仕様書 状態 備考
Mixed Content
block-all-mixed-content の定義
勧告候補 初回定義

ブラウザーの対応

機能ChromeEdgeFirefoxInternet ExplorerOperaSafari
基本対応 あり ?48 なし あり ?
機能Android webviewChrome for AndroidEdge mobileFirefox for AndroidOpera AndroidiOS SafariSamsung Internet
基本対応 あり あり ?48 ? ? あり

関連情報

ドキュメントのタグと貢献者

このページの貢献者: mfuji09
最終更新者: mfuji09,