我在逼迫 https 访问我的网站,但必须加载一些内容 http (例如视频内容不能超过https),但浏览器会因为而阻止请求 mixed-contents 政策。
经过几个小时的搜索,我发现我可以使用 内容安全,策略 但我不知道如何允许混合内容。
<meta http-equiv="Content-Security-Policy" content="????">
我在逼迫 https 访问我的网站,但必须加载一些内容 http (例如视频内容不能超过https),但浏览器会因为而阻止请求 mixed-contents 政策。
经过几个小时的搜索,我发现我可以使用 内容安全,策略 但我不知道如何允许混合内容。
<meta http-equiv="Content-Security-Policy" content="????">
你不能。
CSP限制您网站上的内容,而不是放宽浏览器限制。
安全的https网站给予用户一定的保证,然后允许在其上加载http内容(因此混合内容警告)并不公平,如果您可以在未经用户同意的情况下隐藏这些警告,那真的不公平。
您可以使用CSP来帮助迁移到https,例如:
您可以使用它自动将http请求升级到https(虽然浏览器支持不是通用的)。这有助于您错过将http链接更改为https等效项。但是,这假设资源可以通过https加载,听起来你无法通过https加载它们,所以这不是一个选项。
您还可以使用CSP通过将消息报告给您可以监视的服务来帮助您识别您错过的站点上的任何http资源,以说明尝试加载http资源。这允许您识别并修复https的http链接,因此您不必依赖上述自动升级。
但这也不是你真正想要的。
你不能。
CSP限制您网站上的内容,而不是放宽浏览器限制。
安全的https网站给予用户一定的保证,然后允许在其上加载http内容(因此混合内容警告)并不公平,如果您可以在未经用户同意的情况下隐藏这些警告,那真的不公平。
您可以使用CSP来帮助迁移到https,例如:
您可以使用它自动将http请求升级到https(虽然浏览器支持不是通用的)。这有助于您错过将http链接更改为https等效项。但是,这假设资源可以通过https加载,听起来你无法通过https加载它们,所以这不是一个选项。
您还可以使用CSP通过将消息报告给您可以监视的服务来帮助您识别您错过的站点上的任何http资源,以说明尝试加载http资源。这允许您识别并修复https的http链接,因此您不必依赖上述自动升级。
但这也不是你真正想要的。
你不应该......但你可以,这个功能得到了证明 这里 HTTP PNG图像,即时转换为HTTPS。
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
还有一个新的权限API, 这里描述,允许Web服务器检查用户对地理位置,推送,通知和Web MIDI等功能的权限。