我怎样才能完全防止任何混合内容 https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content从加载?
当前的浏览器已经被阻止active混合内容(脚本)。我真正想要的是阻止所有内容,包括图像。
这样做的目的是立即将每个有问题的图像或文件视为损坏,而不是地址栏中的模糊警告。
有没有跨浏览器的方法来做到这一点?
严格阻止所有混合内容的标准方法:block-all-mixed-contentCSP指令 https://w3c.github.io/webappsec-mixed-content/#strict-checking.
在最简单的情况下,如果您不设置其他 CSP 指令,则只需发送此标头:
Content-Security-Policy: block-all-mixed-content
由于并非每个浏览器都支持此指令,因此发送扩展标头 https://www.owasp.org/index.php/Content_Security_Policy_Cheat_Sheet#Mixed_Content_Policy反而:
Content-Security-Policy: img-src https: data:
另一种选择是强制所有普通 http 请求通过 https:
Content-Security-Policy: upgrade-insecure-requests
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)