Content-Security-Policy: block-all-mixed-content directive
Deprecated: This feature is no longer recommended. Though some browsers might still support it, it may have already been removed from the relevant web standards, may be in the process of being dropped, or may only be kept for compatibility purposes. Avoid using it, and update existing code if possible; see the compatibility table at the bottom of this page to guide your decision. Be aware that this feature may cease to work at any time.
Warning: Chỉ thị này đã được đánh dấu là lỗi thời trong thông số kỹ thuật. Chỉ thị này trước đây được dùng để ngăn nội dung hỗn hợp "có thể bị chặn tùy chọn" khỏi việc được tải về không an toàn và hiển thị. Nội dung không bị chặn hiện luôn được nâng cấp lên kết nối an toàn, vì vậy chỉ thị này không còn cần thiết.
Chỉ thị block-all-mixed-content trong HTTP Content-Security-Policy (CSP) ngăn tải bất kỳ tài nguyên nào qua HTTP khi trang sử dụng HTTPS.
Tất cả các yêu cầu tài nguyên nội dung hỗn hợp đều bị chặn, bao gồm cả nội dung hỗn hợp có thể bị chặn và nâng cấp được.
Điều này cũng áp dụng cho các tài liệu <iframe>, đảm bảo toàn bộ trang không có nội dung hỗn hợp.
Note:
Chỉ thị upgrade-insecure-requests được đánh giá trước block-all-mixed-content.
Nếu cái trước được đặt thì cái sau không làm gì, vì vậy hãy đặt một trong hai chỉ thị – không phải cả hai – trừ khi bạn muốn buộc HTTPS trên các trình duyệt cũ không thực thi điều này sau khi chuyển hướng sang HTTP.
Cú pháp
Content-Security-Policy: block-all-mixed-content;
Ví dụ
Content-Security-Policy: block-all-mixed-content;
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Để không cho phép tài nguyên HTTP ở mức chi tiết hơn, bạn cũng có thể đặt các chỉ thị riêng lẻ thành https:.
Ví dụ, để không cho phép hình ảnh HTTP không an toàn:
Content-Security-Policy: img-src https:
Thông số kỹ thuật
Không thuộc bất kỳ thông số kỹ thuật hiện hành nào. Trước đây được định nghĩa trong thông số kỹ thuật lỗi thời Mixed Content Level 1.