私はhttpsに私のウェブサイトへのアクセスを強制していますが、http(例えば、ビデオコンテンツはhttpsを超えることはできません)のコンテンツの一部を読み込まなければならないが、ブラウザはmixed-contentsというポリシーのためcontent-security-policyメタタグを使用して混在コンテンツ(httpsとhttp)を許可するにはどうすればよいですか?
検索の時間がたってからコンテンツセキュリティポリシーを使用することができましたが、混合コンテンツを許可する方法はわかりません。
<meta http-equiv="Content-Security-Policy" content="????">
できません。
CSPは、ブラウザの制限を緩和するのではなく、Webサイトのコンテンツを制限するためのものです。
安全なhttpsサイトにはユーザーに一定の保証が与えられており、HTTPコンテンツを読み込むことはできません(混在したコンテンツの警告)。ユーザーの同意なしにこれらの警告を非表示にすることはできません。
あなたは、たとえば、HTTPSへの移行を支援するために、物事のカップルのためのCSPを使用することができます。
あなたは(ブラウザのサポートが普遍的ではないですが)自動的にHTTPSにHTTPリクエストをアップグレードするためにそれを使用することができます。これは、httpリンクをhttpsに相当するものに変更しなかった場合に役立ちます。しかし、これは、リソースがhttps経由で読み込まれ、httpsでロードできないように聞こえるので、これはオプションではありません。
また、CSPを使用すると、httpリソースがロードしようとしたと言って監視できるサービスにメッセージを戻すことで、欠落しているサイトのhttpリソースを識別することができます。これにより、httリンクへのhttpリンクを特定して修正できるため、上記の自動アップグレードに頼る必要はありません。
しかしどちらもあなたが本当に探しているものではありません。
あなたはできませんが、機能はデモされていますhere HTTP PNGイメージがHTTPSにオンザフライで変換されています。
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
ジオロケーション、プッシュ通知やWeb MIDIなどの機能に対するユーザーの権限を確認するために、Webサーバーを可能にする新しい権限のAPI、described hereは、もあります。
原点応答ヘッダーでセキュリティを緩めることはできますか?私はそれを追加するのが簡単に聞こえたので、メタタグを探していました。 –
いいえ、セキュリティポリシーを厳格にするためにのみ使用されています。私の答えで述べたように。 –