我想在HTTPS页面内打开HTTP Iframe。当然,这通常不可能,因为它会触发“混合内容”违规行为。混合内容,内容安全策略和散列源
有什么方法可以绕过使用“内容安全策略”和散列源的混合内容块吗?
实施例:
http://mysite/my-frame.html
具有sha256-xxxyyy....zzz
https://mysite/index.html
将与Content-Security-Policy
头如下送达的SHA-256哈希(或内联一个equivalente<meta>
标签),只要CORS标头:Content-Security-Policy: frame-src sha256-xxxxyyyy....zzz
https://mysite/index.html
包括<iframe src='http://mysite/my-frame.html'>
将这项工作?有没有其他的方法可以做到这一点。
note:没有upgrade-insecure-requests
将不起作用,因为该页面是一个导航请求,并且该框架必须由HTTP提供服务。