我在强制https访问我的网站,但其中一些内容必须通过http加载(例如视频内容不能通过https),但由于mixed-contents策略,浏览器会阻止请求。如何使用content-security-policy元标记允许混合内容(http with https)?
经过数小时的搜索,我发现我可以使用Content-Security-Policy但我不知道如何允许混合内容。
<meta http-equiv="Content-Security-Policy" content="????">
你不行。
CSP有没有在您的网站内容限制,不能松懈浏览器的限制。
安全的https站点给予用户一定的保证,然后允许http内容被加载到它上面(因此混合内容警告)是不公平的,如果你可以在用户不同意的情况下隐藏这些警告,那就不公平了。
可以使用CSP的一对夫妇的事情来帮助迁移到HTTPS,例如:
你可以用它来自动升级HTTP请求到HTTPS(尽管浏览器支持不具有普遍性) 。这有助于防止您将http链接更改为https等效。但是,这假设资源可以通过https加载,听起来像你不能通过https加载它们,所以这不是一个选项。
您还可以使用CSP通过向您可以监控的服务报告消息来确认您尝试加载的http资源,从而识别您遗漏的任何http资源。这使您可以识别并修复https链接到https,因此您不必依靠上述自动升级。
但是这两个都不是你真正想要的。
你不应该......但你能,该功能被证明here的HTTP PNG图像转换上即时到HTTPS。
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
还有一个新的权限API,described here,它允许Web服务器来检查用户的权限,像地理定位,推送,通知和Web MIDI功能。
安全性是否可以通过原始响应头来松开?我正在研究元标记,因为它听起来更容易添加。 –
不。它只用于收紧安全政策 - 不放松它。正如我的回答中所提到的。 –