1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Content-Security-Policy
  6. block-all-mixed-content

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Content-Security-Policy: block-all-mixed-content Direktive

Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.

Warnung: Diese Direktive ist in der Spezifikation als veraltet markiert. Diese Direktive wurde früher verwendet, um zu verhindern, dass "optional blockierbarer" gemischter Inhalt unsicher abgerufen und angezeigt wird. Inhalte, die nicht blockiert werden, werden nun immer auf eine sichere Verbindung aktualisiert, so dass diese Direktive nicht mehr benötigt wird.

Die HTTP-Content-Security-Policy (CSP) block-all-mixed-content-Direktive verhindert das Laden von Assets über HTTP, wenn die Seite HTTPS verwendet.

Alle gemischten Inhalte-Ressourcenanfragen werden blockiert, einschließlich sowohl blockierbarer als auch upgradefähiger gemischter Inhalte. Dies gilt auch für <iframe>-Dokumente, wodurch sichergestellt wird, dass die gesamte Seite frei von gemischten Inhalten ist.

Hinweis: Die upgrade-insecure-requests-Direktive wird vor block-all-mixed-content ausgewertet. Ist erstere gesetzt, tut letztere nichts, daher sollte eine Direktive oder die andere gesetzt werden – nicht beide, es sei denn, Sie möchten HTTPS in älteren Browsern erzwingen, die es nicht nach einer Umleitung auf HTTP erzwingen.

Syntax

http
Content-Security-Policy: block-all-mixed-content;

Beispiele

http
Content-Security-Policy: block-all-mixed-content;

<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">

Um HTTP-Assets auf einer detaillierteren Ebene zu verbieten, können Sie auch individuelle Direktiven auf https: setzen. Zum Beispiel, um unsichere HTTP-Bilder zu verbieten:

http
Content-Security-Policy: img-src https:

Spezifikationen

Nicht Teil einer aktuellen Spezifikation. War früher in der veralteten Mixed Content Level 1-Spezifikation definiert.

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden