Content-Security-Policy
Posted hofmann
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Content-Security-Policy相关的知识,希望对你有一定的参考价值。
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
W3C 工作组考虑到了我们升级 HTTPS 的艰难,在 2015 年 4 月份就出了一个 Upgrade Insecure Requests 的草案,他的作用就是让浏览器自动升级请求。
在我们服务器的响应头中加入:
header("Content-Security-Policy: upgrade-insecure-requests");
页面是 https 的,而这个页面中包含了大量的 http 资源(图片、iframe等),页面一旦发现存在上述响应头,会在加载 http 资源时自动替换成 https 请求。
以上是关于Content-Security-Policy的主要内容,如果未能解决你的问题,请参考以下文章
为啥“首选”通过标头传递 Content-Security-Policy?
可以将 Tomcat 7 配置为插入“Content-Security-Policy”HTTP 标头吗?
在 nginx 中添加 Content-Security-Policy 后 websocket 连接失败