我在强制https
访问我的网站,但其中一些内容必须通过http
加载(例如视频内容不能通过https),但由于mixed-contents
策略,浏览器会阻止请求。如何使用content-security-policy元标记允许混合内容(http with https)?
经过数小时的搜索,我发现我可以使用Content-Security-Policy但我不知道如何允许混合内容。
<meta http-equiv="Content-Security-Policy" content="????">
安全性是否可以通过原始响应头来松开?我正在研究元标记,因为它听起来更容易添加。 –
不。它只用于收紧安全政策 - 不放松它。正如我的回答中所提到的。 –