使用 SSL 和内容安全策略允许主动混合内容 (iframe)

使用 SSL 和内容安全策略允许主动混合内容 (iframe)

我已经SSL在服务器上安装了证书,并且成功了HTTPS。但我需要加载嵌入内容的现有 iframe,通常是使用HTTPurl 保存的 YouTube 视频,但也包括无法通过 获得的其他内容HTTPS

upgrade-insecure-requests并不是一个合适的解决方案,因为如果无法使用 检索,它会阻止被动内容HTTPS,而未经定义则Content-Security-Policy不会被浏览器阻止。

我必须定义哪项策略才能使浏览器不阻止活动内容?

答案1

您无法在站点级别禁用混合安全检查。如果浏览器允许,此行为将提供一种虚假的安全感并破坏对使用 HTTPS 的信任。

某些浏览器允许根据安装情况禁用该设置。例如,您可以通过更改设置来禁用 Firefox 中的检查

security.mixed_content.block_active_content

about:config

Chrome 不允许这样做,唯一的方法是点击仍然加载。值得一提的是,新版本的 Chrome不再显示交叉挂锁相反,如果您加载任何 HTTP 内容,Chrome 就会将页面的安全性降级为 HTTP。

相关内容