CSP: block-all-mixed-content

HTTP の Content-Security-Policy (CSP) block-all-mixed-content ディレクティブは、ページが HTTPS を使用しているときに HTTP で資産を読み込むことを防ぎます。

能動的および受動的の両方を含む、すべての混合コンテンツリソースのリクエストがブロックされます。これは <iframe> の文書にも適用され、ページ全体で混合コンテンツがないことを保証します。

upgrade-insecure-requests ディレクティブが block-all-mixed-content の前に評価されます。前者が設定されていれば、後者は何もしません。どちらかのディレクティブを設定してください。 HTTP にリダイレクトした後で HTTPS を強制することができない古いブラウザーで HTTPS を強制させたくない限り、両方の効果はありません。

構文

Content-Security-Policy: block-all-mixed-content;

Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

もっと細かい水準で資産の http を禁止するには、個別のディレクティブを https: に設定することができます。安全ではない HTTP の画像を許可しないようにするには次のようにします。

Content-Security-Policy: img-src https:

仕様書

仕様書 状態 備考
Mixed Content
block-all-mixed-content の定義
勧告候補 初回定義

ブラウザーの互換性

Update compatibility data on GitHub
デスクトップモバイル
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewAndroid 版 ChromeAndroid 版 FirefoxAndroid 版 OperaiOSのSafariSamsung Internet
block-all-mixed-contentChrome 完全対応 ありEdge 完全対応 ≤79Firefox 完全対応 48IE 未対応 なしOpera 完全対応 ありSafari ? WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 48Opera Android ? Safari iOS ? Samsung Internet Android 完全対応 あり

凡例

完全対応  
完全対応
未対応  
未対応
実装状況不明  
実装状況不明

関連情報