假设我的网站通过 HTTPS,我需要从
CSSObjectHTTP请注意,我可以将
Content-Security-PolicyHTTPS没有解决办法。现代浏览器将拒绝在 https 提供的页面中使用非 https 资源,因为这种方式实际上破坏了 https 的安全模型。 CSP 不会提供帮助,因为它无法解决问题。您唯一的选择是通过 http 为站点提供服务,或者通过您自己的站点代理来自外部非 https 站点的包含内容。但请注意,后一个选项也可能会影响安全模型,因为现在这些外部资源被视为源自与您自己的内容相同的域,因此可能会滥用同源策略。
允许通过 HTTPS 加载 HTTP 资源可能会带来安全风险,因为它可能会损害 HTTPS 连接的安全性和完整性。但是,如果您出于特定原因仍需要允许此操作,则可以通过修改网站的内容安全策略 (CSP) 以包含 update-insecure-requests 指令来实现。该指令指示浏览器自动将任何 HTTP 请求升级为 HTTPS。