我在強制https訪問我的網站,但其中一些內容必須通過http加載(例如視頻內容不能通過https),但由於mixed-contents策略,瀏覽器會阻止請求。如何使用content-security-policy元標記允許混合內容(http with https)?
經過數小時的搜索,我發現我可以使用Content-Security-Policy但我不知道如何允許混合內容。
<meta http-equiv="Content-Security-Policy" content="????">
你不行。
CSP有沒有在您的網站內容限制,不能鬆懈瀏覽器的限制。
安全的https站點給予用戶一定的保證,然後允許http內容被加載到它上面(因此混合內容警告)是不公平的,如果你可以在用戶不同意的情況下隱藏這些警告,那就不公平了。
可以使用CSP的一對夫婦的事情來幫助遷移到HTTPS,例如:
你可以用它來自動升級HTTP請求到HTTPS(儘管瀏覽器支持不具有普遍性) 。這有助於防止您將http鏈接更改爲https等效。但是,這假設資源可以通過https加載,聽起來像你不能通過https加載它們,所以這不是一個選項。
您還可以使用CSP通過向您可以監控的服務報告消息來確認您嘗試加載的http資源,從而識別您遺漏的任何http資源。這使您可以識別並修復https鏈接到https,因此您不必依靠上述自動升級。
但是這兩個都不是你真正想要的。
你不應該......但你能,該功能被證明here的HTTP PNG圖像轉換上即時到HTTPS。
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
還有一個新的權限API,described here,它允許Web服務器來檢查用戶的權限,像地理定位,推送,通知和Web MIDI功能。
安全性是否可以通過原始響應頭來鬆開?我正在研究元標記,因爲它聽起來更容易添加。 –
不。它只用於收緊安全政策 - 不放鬆它。正如我的回答中所提到的。 –