0
我想在HTTPS頁面內打開HTTP Iframe。當然,這通常不可能,因爲它會觸發「混合內容」違規行爲。混合內容,內容安全策略和散列源
有什麼方法可以繞過使用「內容安全策略」和散列源的混合內容塊嗎?
實施例:
http://mysite/my-frame.html具有sha256-xxxyyy....zzzhttps://mysite/index.html將與Content-Security-Policy頭如下送達的SHA-256哈希(或內聯一個equivalente<meta>標籤),只要CORS標頭:Content-Security-Policy: frame-src sha256-xxxxyyyy....zzz
https://mysite/index.html包括<iframe src='http://mysite/my-frame.html'>
將這項工作?有沒有其他的方法可以做到這一點。
note:沒有upgrade-insecure-requests將不起作用,因爲該頁面是一個導航請求,並且該框架必須由HTTP提供服務。